查找FLEXLM ECC公钥在文件中位置的快捷方法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (55) ◀ 1 2 3
考拉雪币： 1250 活跃值： (3550) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 153 粉丝 9 关注私信	考拉 51 楼感谢分享 2021-6-1 16:56 1
glopen 雪币： 522 活跃值： (4831) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 339 粉丝 21 关注私信	glopen 52 楼你这个方法确实方便，不过有一个问题，就是如果某一个pubkey的值是0，找出来的值可能就不对。可以把pubkey[0][0][0]的这个值在编译前设成0测试，或者直接试pubkey[0][0][39]（这个肯定等于0）。原因是pubkey=0时，编译器编译后，可能把这个静态全局变量值为0的变量，不是放在exe文件的.data节中，放在其他某个节里，程序运行前是个不为0的随机值，程序执行的时候再初始化为0。这样可能要手工处理一下个别不为0的那些pubkey！下图是我把lm_new.c中的pubkey[0][0][0]设成0来测试，6DC1E8这个虚拟地址在exe文件中是找不到的。结果如图：最后于 2022-1-27 09:19 被glopen编辑，原因： 2022-1-27 08:47 1
fancotse 雪币： 305 活跃值： (172) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	fancotse 53 楼 yangmyron 这个文件出的是ECC公钥的值（十进制，-=为补码）而不是虚拟地址？？？有大神明白为啥吗？((_BYTE )Dst + 072)&nb ... 大侠，出来的是数值时，该怎样替换？ 2022-5-21 17:35 0
yangmyron 雪币： 6116 活跃值： (6756) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 216 粉丝 105 关注私信	yangmyron 54 楼 fancotse 大侠，出来的是数值时，该怎样替换？自己算好，我理解直接在代码里改成自己需要的值即可吧 2022-5-21 20:22 0
yangmyron 雪币： 6116 活跃值： (6756) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 216 粉丝 105 关注私信	yangmyron 55 楼 glopen 你这个方法确实方便，不过有一个问题，就是如果某一个pubkey的值是0，找出来的值可能就不对。可以把pubkey[0][0][0]的这个值在编译前设成0测试，或者直接试pubkey[0][0][39] ... 如果恰好某个原值为00，自己需要的值不为零时，可以找个实际上没用地方就改为自己的值，在代码中把pubkey指向这个地方就行 2022-5-21 20:26 0
zmgbyn 雪币： 1189 活跃值： (194) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 1 关注私信	zmgbyn 56 楼 yangmyron 修改原来一些不正确的说法：如果现在我说你根本不用去记特征码找函数，对于x86的 ... ultraedit 里直接搜索这个 (int, void *, int, int, int, int) （IDA pro 8.3) 用我的软件（flexlm 11.13.14)地址都在一个子程序内。测试了一下11.19.3.0在两个子程序内。最后于 2024-6-14 05:00 被zmgbyn编辑，原因： 2024-6-12 10:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (55) ◀ 1 2 3
考拉雪币： 1250 活跃值： (3550) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 153 粉丝 9 关注私信	考拉 51 楼感谢分享 2021-6-1 16:56 1
glopen 雪币： 522 活跃值： (4831) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 339 粉丝 21 关注私信	glopen 52 楼你这个方法确实方便，不过有一个问题，就是如果某一个pubkey的值是0，找出来的值可能就不对。可以把pubkey[0][0][0]的这个值在编译前设成0测试，或者直接试pubkey[0][0][39]（这个肯定等于0）。原因是pubkey=0时，编译器编译后，可能把这个静态全局变量值为0的变量，不是放在exe文件的.data节中，放在其他某个节里，程序运行前是个不为0的随机值，程序执行的时候再初始化为0。这样可能要手工处理一下个别不为0的那些pubkey！下图是我把lm_new.c中的pubkey[0][0][0]设成0来测试，6DC1E8这个虚拟地址在exe文件中是找不到的。结果如图：最后于 2022-1-27 09:19 被glopen编辑，原因： 2022-1-27 08:47 1
fancotse 雪币： 305 活跃值： (172) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	fancotse 53 楼 yangmyron 这个文件出的是ECC公钥的值（十进制，-=为补码）而不是虚拟地址？？？有大神明白为啥吗？((_BYTE )Dst + 072)&nb ... 大侠，出来的是数值时，该怎样替换？ 2022-5-21 17:35 0
yangmyron 雪币： 6116 活跃值： (6756) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 216 粉丝 105 关注私信	yangmyron 54 楼 fancotse 大侠，出来的是数值时，该怎样替换？自己算好，我理解直接在代码里改成自己需要的值即可吧 2022-5-21 20:22 0
yangmyron 雪币： 6116 活跃值： (6756) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 216 粉丝 105 关注私信	yangmyron 55 楼 glopen 你这个方法确实方便，不过有一个问题，就是如果某一个pubkey的值是0，找出来的值可能就不对。可以把pubkey[0][0][0]的这个值在编译前设成0测试，或者直接试pubkey[0][0][39] ... 如果恰好某个原值为00，自己需要的值不为零时，可以找个实际上没用地方就改为自己的值，在代码中把pubkey指向这个地方就行 2022-5-21 20:26 0
zmgbyn 雪币： 1189 活跃值： (194) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 1 关注私信	zmgbyn 56 楼 yangmyron 修改原来一些不正确的说法：如果现在我说你根本不用去记特征码找函数，对于x86的 ... ultraedit 里直接搜索这个 (int, void *, int, int, int, int) （IDA pro 8.3) 用我的软件（flexlm 11.13.14)地址都在一个子程序内。测试了一下11.19.3.0在两个子程序内。最后于 2024-6-14 05:00 被zmgbyn编辑，原因： 2024-6-12 10:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复