首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
在破解过程中遇到问题,请教各位高手
发表于: 2006-4-6 02:42 4283

在破解过程中遇到问题,请教各位高手

rshell 活跃值
2006-4-6 02:42
4283
用OD对一软件进行破解,软件使用在线验证用户名密码方式,PEID查壳为ASProtect 2.1x SKE -> Alexey Solodovnikov,由于脱壳太费时间体力,所以决定带壳调试,但是发现其网络验证部分是用一个INT 2B中断实现得,猜测可能改了中断地址表(记得这是DOS时代经常用的了),下面贴出部分代码,请高手指教,另外是不是OD现在就无法继续操作了?要用SOFTICE才可以操作中断地址表.
方法:首先忽略所有异常,让程序跑到登陆界面,然后输入用户名123456,密码654321,用OD插件ApiBreak下万能断点,点程序确定键,如下:
77D3353D    F3:A5           rep     movs dword ptr es:[edi], dword p>

EAX 00000006
ECX 00000001
EDX 00140608
EBX 00000006
ESP 0012E2F0
EBP 0012E300
ESI 001565E0 ASCII "123456"
EDI 0012E498
EIP 77D3353D USER32.77D3353D
看到用户名了
F9继续,断下,还是这个地址:
EAX 00000006
ECX 00000001
EDX 00140635
EBX 00000006
ESP 0012E2F0
EBP 0012E300
ESI 00156618 ASCII "654321"
EDI 0012E498 ASCII "123456"
EIP 77D3353D USER32.77D3353D
能看到密码了,然后F8单步跟,用网络防火墙拦住该程序网络访问,到如下地址防火墙弹出提示窗口是否允许该程序访问网络了
77D2EC8D    6A 00           push    0
77D2EC8F    6A 0C           push    0C
77D2EC91    5A              pop     edx
77D2EC92    8D8D F0F7FFFF   lea     ecx, [ebp-810]
77D2EC98    8985 F0F7FFFF   mov     [ebp-810], eax
77D2EC9E    E8 01A8FEFF     call    77D194A4           就是这里出现提示是否可以访问网络
推断该CALL为发送用户名密码的函数,点确定之后,继续F8程序提示密码错误,所以该CALL发送并且验证了密码,于是跟进CALL,代码:
77D194A4    8B4424 04       mov     eax, [esp+4]
77D194A8    CD 2B           int     2B
77D194AA    C2 0400         retn    4
当F8到INT 2B出现密码错误提示,请教各位高手,推断是否正确,如何才能跟进这个INT 2B,OD可以不可以啊,

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
kanxue
雪    币: 44229
活跃值: (19960)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
2
这段代码是系统user32.dll,你得按F12返回上层,来到应用程序本身。
2006-4-6 08:58
0
andy00
雪    币: 260
活跃值: (259)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
3
真幽麦啊
2006-4-6 09:27
0
rshell
雪    币: 250
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
感谢看雪老大指点,但是还步明白,还请各位高手继续,不要笑我啊,我才学了几天,前辈们不要吝啬教我啊,为什么我一按F12到如下地址:
7C92EB94 >  C3              retn                  返回到这里
7C92EB95    8DA424 00000000 lea     esp, [esp]
7C92EB9C    8D6424 00       lea     esp, [esp]
7C92EBA0    90              nop
7C92EBA1    90              nop
7C92EBA2    90              nop
7C92EBA3    90              nop
7C92EBA4    90              nop
7C92EBA5 >  8D5424 08       lea     edx, [esp+8]
7C92EBA9    CD 2E           int     2E
7C92EBAB    C3              retn

EAX 0040C878 rox.0040C878
ECX 0012F684
EDX 00000000
EBX 77D1D7F9 USER32.UpdateWindow
ESP 0012F3C8
EBP 0012F3EC
ESI 00410A84 rox.00410A84
EDI 00410A84 rox.00410A84
EIP 7C92EB94 ntdll.KiFastSystemCallRet
继续F8一下,这个应该还没有到程序领空吧,但是跟到这里
7C92EAD3    5A              pop     edx            返回到这里
7C92EAD4    64:A1 18000000  mov     eax, fs:[18]
7C92EADA    8B40 30         mov     eax, [eax+30]
7C92EADD    8B40 2C         mov     eax, [eax+2C]
7C92EAE0    FF1490          call    [eax+edx*4]    到这个CALL就程序非法了
7C92EAE3    33C9            xor     ecx, ecx
7C92EAE5    33D2            xor     edx, edx
7C92EAE7    CD 2B           int     2B
7C92EAE9    CC              int3

EAX 7FFD3000
ECX 00000001
EDX 0000002F
EBX 77D1D7F9 USER32.UpdateWindow
ESP 0012F390
EBP 0012F3EC
ESI 00410A84 rox.00410A84
EDI 00410A84 rox.00410A84
EIP 7C92EADD ntdll.7C92EADD
过了那个CALL就提示程序非法了,学的不深,是在搞步明白了,还清各位高手指点
顺便说一句,这个论坛氛围真好
2006-4-6 12:49
0
dfjkdfjk
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
哇 是不是有点夸张 这样也行吗
2006-4-13 13:04
0
jskew
雪    币: 124
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
6
强淫
2006-4-13 13:40
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//