首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
菜鸟解狗
发表于: 2006-3-9 19:30 5351

菜鸟解狗

WANGZHE 活跃值
2006-3-9 19:30
5351
最近碰到一软件,是带狗的,俺是菜鸟,找到一地方,可能是读狗的,可看不懂代码,请杀狗高手帮俺看一下,应该怎样来改
10002911    68 44C1001>push    my3l_ex.1000C144           ; ASCII "NT_dll2"
10002916    FF15 38A00>call    near [<&KERNEL32.LoadLibra>; kernel32.LoadLibraryA
1000291C    85C0       test    eax, eax
1000291E    A3 D0EB001>mov     [1000EBD0], eax
10002923    75 02      jnz     short my3l_ex.10002927
10002925    5E         pop     esi
10002926    C3         retn
10002927    8B35 34A00>mov     esi, [<&KERNEL32.GetProcAd>; kernel32.GetProcAddress
1000292D    68 34C1001>push    my3l_ex.1000C134           ; ASCII "NT_OpenDevice"
10002932    50         push    eax
10002933    FFD6       call    near esi
10002935    A3 C0EB001>mov     [1000EBC0], eax
1000293A    A1 D0EB001>mov     eax, [1000EBD0]
1000293F    68 24C1001>push    my3l_ex.1000C124           ; ASCII "NT_GetIDVersion"
10002944    50         push    eax
10002945    FFD6       call    near esi
10002947    85C0       test    eax, eax
10002949    A3 BCEB001>mov     [1000EBBC], eax
1000294E    75 02      jnz     short my3l_ex.10002952
10002950    5E         pop     esi
10002951    C3         retn
10002952    8B0D D0EB0>mov     ecx, [1000EBD0]
10002958    68 18C1001>push    my3l_ex.1000C118           ; ASCII "NT_E_Dec"
1000295D    51         push    ecx
1000295E    FFD6       call    near esi
10002960    85C0       test    eax, eax
10002962    A3 B8EB001>mov     [1000EBB8], eax
10002967    75 02      jnz     short my3l_ex.1000296B
10002969    5E         pop     esi
1000296A    C3         retn
1000296B    8B15 D0EB0>mov     edx, [1000EBD0]
10002971    68 08C1001>push    my3l_ex.1000C108           ; ASCII "NT_Calculate"
10002976    52         push    edx
10002977    FFD6       call    near esi
10002979    85C0       test    eax, eax
1000297B    A3 B4EB001>mov     [1000EBB4], eax
10002980    75 02      jnz     short my3l_ex.10002984
10002982    5E         pop     esi
10002983    C3         retn
10002984    A1 D0EB001>mov     eax, [1000EBD0]
10002989    68 00C1001>push    my3l_ex.1000C100           ; ASCII "Read"
1000298E    50         push    eax
1000298F    FFD6       call    near esi
10002991    85C0       test    eax, eax
10002993    A3 C8EB001>mov     [1000EBC8], eax
10002998    75 02      jnz     short my3l_ex.1000299C
1000299A    5E         pop     esi
1000299B    C3         retn
1000299C    8B0D D0EB0>mov     ecx, [1000EBD0]
100029A2    68 F8C0001>push    my3l_ex.1000C0F8           ; ASCII "Write"
100029A7    51         push    ecx
100029A8    FFD6       call    near esi
100029AA    85C0       test    eax, eax
100029AC    A3 C4EB001>mov     [1000EBC4], eax
100029B1    75 02      jnz     short my3l_ex.100029B5
100029B3    5E         pop     esi
100029B4    C3         retn
100029B5    8B15 D0EB0>mov     edx, [1000EBD0]
100029BB    68 ECC0001>push    my3l_ex.1000C0EC           ; ASCII "NT_GetIDEx"
100029C0    52         push    edx
100029C1    FFD6       call    near esi
100029C3    85C0       test    eax, eax
100029C5    A3 ACEB001>mov     [1000EBAC], eax
100029CA    75 02      jnz     short my3l_ex.100029CE
100029CC    5E         pop     esi
100029CD    C3         retn
100029CE    A1 D0EB001>mov     eax, [1000EBD0]
100029D3    68 E0C0001>push    my3l_ex.1000C0E0           ; ASCII "FindPort"
100029D8    50         push    eax
100029D9    FFD6       call    near esi
100029DB    85C0       test    eax, eax
100029DD    A3 A8EB001>mov     [1000EBA8], eax
100029E2    75 02      jnz     short my3l_ex.100029E6
100029E4    5E         pop     esi
100029E5    C3         retn
100029E6    8B0D D0EB0>mov     ecx, [1000EBD0]
100029EC    68 D4C0001>push    my3l_ex.1000C0D4           ; ASCII "FindPort_2"
100029F1    51         push    ecx
100029F2    FFD6       call    near esi
100029F4    85C0       test    eax, eax
100029F6    A3 A4EB001>mov     [1000EBA4], eax
100029FB    75 02      jnz     short my3l_ex.100029FF
100029FD    5E         pop     esi
100029FE    C3         retn
100029FF    8B15 D0EB0>mov     edx, [1000EBD0]
10002A05    68 C4C0001>push    my3l_ex.1000C0C4           ; ASCII "NT_CalculateEx"
10002A0A    52         push    edx
10002A0B    FFD6       call    near esi
10002A0D    85C0       test    eax, eax
10002A0F    A3 B0EB001>mov     [1000EBB0], eax
10002A14    75 02      jnz     short my3l_ex.10002A18
10002A16    5E         pop     esi
10002A17    C3         retn
10002A18    A1 D0EB001>mov     eax, [1000EBD0]
10002A1D    68 B8C0001>push    my3l_ex.1000C0B8           ; ASCII "NT_IsShare"
10002A22    50         push    eax
10002A23    FFD6       call    near esi
10002A25    85C0       test    eax, eax
10002A27    A3 A0EB001>mov     [1000EBA0], eax
10002A2C    75 02      jnz     short my3l_ex.10002A30
10002A2E    5E         pop     esi
10002A2F    C3         retn
10002A30    8B0D D0EB0>mov     ecx, [1000EBD0]
10002A36    68 ACC0001>push    my3l_ex.1000C0AC           ; ASCII "NT_Write"
10002A3B    51         push    ecx
10002A3C    FFD6       call    near esi
10002A3E    85C0       test    eax, eax
10002A40    A3 9CEB001>mov     [1000EB9C], eax
10002A45    75 02      jnz     short my3l_ex.10002A49
10002A47    5E         pop     esi
10002A48    C3         retn
10002A49    8B15 D0EB0>mov     edx, [1000EBD0]
10002A4F    68 A4C0001>push    my3l_ex.1000C0A4           ; ASCII "NT_Read"
10002A54    52         push    edx
10002A55    FFD6       call    near esi
10002A57    85C0       test    eax, eax
10002A59    A3 98EB001>mov     [1000EB98], eax
10002A5E    75 02      jnz     short my3l_ex.10002A62
10002A60    5E         pop     esi
10002A61    C3         retn
10002A62    A1 D0EB001>mov     eax, [1000EBD0]
10002A67    68 98C0001>push    my3l_ex.1000C098           ; ASCII "NT_GetTime"
10002A6C    50         push    eax
10002A6D    FFD6       call    near esi
10002A6F    85C0       test    eax, eax
10002A71    A3 94EB001>mov     [1000EB94], eax
10002A76    75 02      jnz     short my3l_ex.10002A7A
10002A78    5E         pop     esi
10002A79    C3         retn
10002A7A    8B0D D0EB0>mov     ecx, [1000EBD0]
10002A80    68 8CC0001>push    my3l_ex.1000C08C           ; ASCII "NT_Allow"
10002A85    51         push    ecx
10002A86    FFD6       call    near esi
10002A88    85C0       test    eax, eax
10002A8A    A3 8CEB001>mov     [1000EB8C], eax
10002A8F    75 02      jnz     short my3l_ex.10002A93
10002A91    5E         pop     esi
10002A92    C3         retn
10002A93    8B15 D0EB0>mov     edx, [1000EBD0]
10002A99    68 7CC0001>push    my3l_ex.1000C07C           ; ASCII "NT_WriteTime"
10002A9E    52         push    edx
10002A9F    FFD6       call    near esi
10002AA1    85C0       test    eax, eax
10002AA3    A3 88EB001>mov     [1000EB88], eax
10002AA8    75 02      jnz     short my3l_ex.10002AAC
10002AAA    5E         pop     esi
10002AAB    C3         retn
10002AAC    A1 D0EB001>mov     eax, [1000EBD0]
10002AB1    68 6CC0001>push    my3l_ex.1000C06C           ; ASCII "NT_GetSetTime"
10002AB6    50         push    eax
10002AB7    FFD6       call    near esi
10002AB9    33C9       xor     ecx, ecx
10002ABB    A3 90EB001>mov     [1000EB90], eax
10002AC0    85C0       test    eax, eax
10002AC2    0F95C1     setne   cl
10002AC5    8BC1       mov     eax, ecx
10002AC7    5E         pop     esi

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (6)
nig
雪    币: 414
活跃值: (531)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
2
看设备名,没有见过呢,不知道是什么狗.
2006-3-9 20:52
0
Phoenix
雪    币: 153
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
域天加密狗
2006-3-9 21:09
0
nig
雪    币: 414
活跃值: (531)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
4
呵呵,不都说那个是烂狗一只吗?看来得有时间玩玩了.
看功能函数还挺多.
THX,兄弟
2006-3-10 00:32
0
Pan88168
雪    币: 439
活跃值: (106)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
我也有一个没有解开,用得是SDK方式的,刚删除原版

要不可以发给你试试.兄弟.

楼主的给出的地方不是重点.
2006-3-10 03:49
0
WANGZHE
雪    币: 284
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
00490B74  /$  53            push    ebx
00490B75  |.  83C4 F8       add     esp, -8
00490B78  |.  33C0          xor     eax, eax
00490B7A  |.  A3 10214B00   mov     [4B2110], eax
00490B7F  |.  E8 E404F7FF   call    <jmp.&Vcl50.System::Random>
00490B84  |.  B8 00010000   mov     eax, 100
00490B89  |.  E8 4A05F7FF   call    <jmp.&Vcl50.System::RandIn>
00490B8E  |.  884424 03     mov     [esp+3], al
00490B92  |.  B8 00010000   mov     eax, 100
00490B97  |.  E8 3C05F7FF   call    <jmp.&Vcl50.System::RandIn>
00490B9C  |.  884424 04     mov     [esp+4], al
00490BA0  |.  B8 00010000   mov     eax, 100
00490BA5  |.  E8 2E05F7FF   call    <jmp.&Vcl50.System::RandIn>
00490BAA  |.  884424 05     mov     [esp+5], al
00490BAE  |.  B8 00010000   mov     eax, 100
00490BB3  |.  E8 2005F7FF   call    <jmp.&Vcl50.System::RandIn>
00490BB8  |.  884424 06     mov     [esp+6], al
00490BBC  |.  8A4424 03     mov     al, [esp+3]
00490BC0  |.  880424        mov     [esp], al
00490BC3  |.  8A4424 04     mov     al, [esp+4]
00490BC7  |.  884424 01     mov     [esp+1], al
00490BCB  |.  8A4424 05     mov     al, [esp+5]
00490BCF  |.  884424 02     mov     [esp+2], al
00490BD3  |.  8A5C24 06     mov     bl, [esp+6]
00490BD7  |.  68 D0070000   push    7D0
00490BDC  |.  A1 0C214B00   mov     eax, [4B210C]
00490BE1  |.  E8 BA06F7FF   call    <jmp.&Vcl50.System::LStrTo>
00490BE6  |.  50            push    eax
00490BE7  |.  8D4424 0E     lea     eax, [esp+E]
00490BEB  |.  50            push    eax
00490BEC  |.  8D4424 11     lea     eax, [esp+11]
00490BF0  |.  50            push    eax
00490BF1  |.  8D4424 14     lea     eax, [esp+14]
00490BF5  |.  50            push    eax
00490BF6  |.  8D4424 17     lea     eax, [esp+17]
00490BFA  |.  50            push    eax
00490BFB  |.  6A 10         push    10
00490BFD  |.  68 10050000   push    510
00490C02  |.  68 780C4900   push    cxLogo.00490C78            ;  cxedu.exp
00490C07  |.  E8 50FBFFFF   call    <jmp.&my3l_ex.Cal_2>
00490C0C  |.  85C0          test    eax, eax
00490C0E      74 09         je      short cxLogo.00490C19
00490C10  |.  33D2          xor     edx, edx
00490C12  |.  A3 10214B00   mov     [4B2110], eax
00490C17  |.  EB 57         jmp     short cxLogo.00490C70
00490C19  |>  33C0          xor     eax, eax
00490C1B  |.  8AC3          mov     al, bl
00490C1D  |.  D1E8          shr     eax, 1
00490C1F  |.  C1E3 07       shl     ebx, 7
00490C22  |.  0AC3          or      al, bl
00490C24  |.  8BD8          mov     ebx, eax
00490C26  |.  301C24        xor     [esp], bl
00490C29  |.  8A0424        mov     al, [esp]
00490C2C  |.  304424 02     xor     [esp+2], al
00490C30  |.  8A4424 02     mov     al, [esp+2]
00490C34  |.  300424        xor     [esp], al
00490C37  |.  325C24 02     xor     bl, [esp+2]
00490C3B  |.  807424 02 A0  xor     byte ptr [esp+2], 0A0
00490C40  |.  325C24 02     xor     bl, [esp+2]
00490C44  |.  301C24        xor     [esp], bl
00490C47  |.  8A4424 03     mov     al, [esp+3]
00490C4B  |.  3A0424        cmp     al, [esp]
00490C4E  |.  75 1A         jnz     short cxLogo.00490C6A
00490C50  |.  8A4424 04     mov     al, [esp+4]
00490C54  |.  3A4424 01     cmp     al, [esp+1]
00490C58  |.  75 10         jnz     short cxLogo.00490C6A
00490C5A  |.  8A4424 05     mov     al, [esp+5]
00490C5E  |.  3A4424 02     cmp     al, [esp+2]
00490C62  |.  75 06         jnz     short cxLogo.00490C6A
00490C64  |.  3A5C24 06     cmp     bl, [esp+6]
00490C68  |.  74 04         je      short cxLogo.00490C6E
00490C6A  |>  33D2          xor     edx, edx
00490C6C      EB 02         jmp     short cxLogo.00490C70
00490C6E  |>  B2 01         mov     dl, 1
00490C70      8BC2          mov     eax, edx
00490C72      59            pop     ecx
00490C73      5A            pop     edx
00490C74      5B            pop     ebx
00490C75  \.  C3            retn

楼上的帮忙看一下,这个是重点吗,这是在哪个CALL前的,这个软件还有个问题,现在俺跳过狗后可以运行,但是新建、保存都不好用,点新建文件内容还是原来的,一点没清掉原来的内容,点保存的话只是保存个文件名,内容一点都没有,这是什么原因,请高手指点下,为他耗了好几天了。
2006-3-10 18:42
0
WANGZHE
雪    币: 284
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
软件下载地址http://www.chuangxinsj.com/rjxz/Setup.exe
升级包地址http://www.chuangxinsj.com/rjxz/PcUpdate.exe
不升级是用注册码形式的(俺菜,也看不出是什么加密算法)升级后就是要狗的了,在启动时要两次检狗,第一次必须返回为0,第二次必须返回不为0,晕
2006-3-10 18:50
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//