调试中出现注册窗口却自动跳过,是不是没有脱壳,查明没有壳,会否是隐藏的壳呢?-软件逆向-看雪-安全社区|安全招聘|kanxue.com

调试中出现注册窗口却自动跳过,是不是没有脱壳,查明没有壳,会否是隐藏的壳呢?

发表于: 2006-5-5 16:12 6138

调试中出现注册窗口却自动跳过,是不是没有脱壳,查明没有壳,会否是隐藏的壳呢?

alchemy

2006-5-5 16:12

6138

在OD调试中出现注册窗口却自动跳过,菜鸟却步,请高手指点迷津!
其实我也不是一个菜鸟,只是一只菜蛋而已,欲破壳而出却找不到方向,下面就是我这只菜蛋的第一场破解战争,若只是简单的问题请不要见笑,请指点一二,若是一个能够提供给大家研究的题材,就请大家花时间在这里讨论一下吧,废话不多说了,下面是一些相关信息,这个是题材的下载网址,软件名称为电脑维修助手.

   http://sq.onlinedown.net:82/down/DnwxzsSetup.exe

(本想上传一个,却权限不够)

1.找不到其相关的字符串,只有几个乱码,
",!@"
"CC:\WINDOWS\system32\pcwxzs\pcwxzs.exe"
"VB5!?vb6chs.dll"
"?8@"
"?P@"
"?P@"
2.所以不能正确找出它的断点.
3.在OD中运行后出现注册窗口时却没有停下来,直接运行到最后,最后出现什么浮点不正确.以下是相关的介面

:00402140 7000                   jo 00402142

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00402140(C)
|
:00402142 0000                   add byte ptr [eax], al

:00402144 2C214000             DWORD 0040212C
:00402148 3C214000             DWORD 0040213C

:0040214C 0000                   add byte ptr [eax], al
:0040214E 0400                   add al, 00
:00402150 D432                   aam (base50)
:00402152 40                   inc eax
:00402153 000000000000000000    BYTE  9 DUP(0)

:0040215C A1DC324000             mov eax, dword ptr [004032DC]
:00402161 0BC0                   or eax, eax
:00402163 7402                   je 00402167
:00402165 FFE0                   jmp eax

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00402163(C)
|

* Possible StringData Ref from Code Obj ->",!@"
                              |
:00402167 6844214000             push 00402144

* Possible StringData Ref from Code Obj ->"?8@"
                              |
:0040216C B830114000             mov eax, 00401130
:00402171 FFD0                   call eax
:00402173 FFE0                   jmp eax
:00402175 000000                BYTE  3 DUP(0)

:00402178 0C00                   or al, 00
:0040217A 40                   inc eax
:0040217B 000000000000000000    BYTE  9 DUP(0)

:00402184 4A                   dec edx
:00402185 000000                BYTE  3 DUP(0)

:00402188 43                   inc ebx
:00402189 003A                   add byte ptr [edx], bh
:0040218B 005C0057             add byte ptr [eax+eax+57], bl
:0040218F 004900                add byte ptr [ecx+00], cl
:00402192 4E                   dec esi
:00402193 0044004F             add byte ptr [eax+eax+4F], al
:00402197 005700                add byte ptr [edi+00], dl
:0040219A 53                   push ebx
:0040219B 005C0073             add byte ptr [eax+eax+73], bl
:0040219F 007900                add byte ptr [ecx+00], bh
:004021A2 7300                   jnb 004021A4

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004021A2(C)
|
:004021A4 7400                   je 004021A6

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004021A4(C)
|
:004021A6 65006D00             add byte ptr gs:[ebp+00], ch
:004021AA 3300                   xor eax, dword ptr [eax]
:004021AC 3200                   xor al, byte ptr [eax]
:004021AE 5C                   pop esp
:004021AF 007000                add byte ptr [eax+00], dh
:004021B2 6300                   arpl dword ptr [eax], eax
:004021B4 7700                   ja 004021B6

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004021B4(C)
|
:004021B6 7800                   js 004021B8

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004021B6(C)
|
:004021B8 7A00                   jpe 004021BA

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004021B8(C)
|
:004021BA 7300                   jnb 004021BC

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004021BA(C)
|
:004021BC 5C                   pop esp
:004021BD 007000                add byte ptr [eax+00], dh
:004021C0 6300                   arpl dword ptr [eax], eax
:004021C2 7700                   ja 004021C4

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004021C2(C)
|
:004021C4 7800                   js 004021C6

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004021C4(C)
|
:004021C6 7A00                   jpe 004021C8

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004021C6(C)
|
:004021C8 7300                   jnb 004021CA

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004021C8(C)
|
:004021CA 2E006500             add byte ptr cs:[ebp+00], ah
:004021CE 7800                   js 004021D0

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004021CE(C)
|
:004021D0 65                   BYTE 065h

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (17)
alchemy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	alchemy 2 楼才人刚接触破解才没几天,也没有编程的基础,一个字!累!却感受到它的吸引,感觉如游戏般中练兵一样,废枕忘食,整天钻在里面(虽然很累,也没有什么成绩),但却有一种引力在索引着自己,看雪论坛也成了我第一个接解程序的论坛,从接解破解开始认识到好多方面的知识, 在看雪论坛里我感觉到了每个人的热情,帮助和互爱,就象战争中同一阵线的将领和士兵,共同征服目标,在这里有感而发(虽然我之前只是在看贴,看贴不回贴,鄙视自己, 不过我没有专业知识,发的也是水贴,而且刚接触,所以想尽快吸收一下有什么相关的知识点, 谢罪! 马上要上班了,唉,五一过后的第一个夜班终于来临了! 希望大家多多支持! 2006-5-5 16:37 0
月中人雪币： 342 活跃值： (21) 能力值： ( LV12，RANK：730 ) 在线值：发帖 24 回帖 70 粉丝 1 关注私信	月中人 18 3 楼隐藏OD和debug试试有关电子书破解方面的 2006-5-5 16:55 0
alchemy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	alchemy 4 楼补充一下,这个软件没有加壳的,用 VB 6.0 编的,大小为30M,安装后可以试用,但部分功能不可以使用,只有这么多信息了我希望大家可以下来看看,是华军软件园的超链接的,大家放心下载! 名子是"电脑维修助手",感谢刚才楼上的提点,可以试试,也请大家把它下载下来分析一下 2006-5-5 16:56 0
alchemy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	alchemy 5 楼我要顶上去!我顶我顶我顶我顶~~~~ 2006-5-5 19:10 0
紫色缘雪币： 253 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 12 回帖 384 粉丝 0 关注私信	紫色缘 7 6 楼我顺便来支持你 2006-5-5 19:33 0
huziyi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	huziyi 7 楼楼主，支持你！我查了一下这个东东，它真正的主谋深藏在C:\windows\system32\pcwxzs\pcwxzs.exe 是一个隐藏文件。 upx 0.89.6-1.02/1.05-1.24(Delphi)加壳。我对它也没辄，我也是菜鸟哦！呵，呵！ 2006-5-6 00:01 0
alchemy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	alchemy 8 楼隐藏UPX壳,,,晕呼呼,有人脱过隐藏的壳吗？有老鸟出来指点我们一二吗？谢谢],不过,我也想提出一过问题,怎样才知道它是隐藏的呢,用什么方法查出来呢,请楼上解释一下好吗？ 2006-5-6 19:24 0
alchemy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	alchemy 9 楼有人研究过吗？大家一起来看看吧 2006-5-7 20:25 0
alchemy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	alchemy 10 楼顶住! 2006-5-8 01:40 0
alchemy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	alchemy 11 楼不知道自己要顶到什么时候 2006-5-9 15:44 0
alchemy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	alchemy 12 楼一天一天过去了,只好自己顶了 2006-5-10 09:13 0
Aifc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 48 粉丝 0 关注私信	Aifc 13 楼我这个门外汉帮顶。 2006-5-14 14:49 0
lbjfyw 雪币： 200 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	lbjfyw 14 楼在C:\windows\system32\pcwxzs\pcwxzs.exe 找到pcwxzs.exe用脱壳机便可脱壳。不知在何处设断？ 2006-5-14 22:29 0
lbjfyw 雪币： 200 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	lbjfyw 15 楼楼上，按你的方法好象不行！只是不出现注册错误提示，里面的内容还是提示注册，受限制。 2006-5-15 22:36 0
菜儿雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 193 粉丝 0 关注私信	菜儿 16 楼顶上去! 2006-5-15 23:11 0
alchemy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	alchemy 17 楼虽然我还在摸索着,不过真的很感谢大家,寒秋说的有道理,有方向了,我会朝着这个方向去摸索的,谢谢大家!如果还有弟兄跟进的,也请不要告知注册码,分析就可以了! 2006-5-16 17:07 0
lbjfyw 雪币： 200 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	lbjfyw 18 楼已成功追出注册码，注册成功！！！ 2006-5-16 21:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

alchemy

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
alchemy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	alchemy 2 楼才人刚接触破解才没几天,也没有编程的基础,一个字!累!却感受到它的吸引,感觉如游戏般中练兵一样,废枕忘食,整天钻在里面(虽然很累,也没有什么成绩),但却有一种引力在索引着自己,看雪论坛也成了我第一个接解程序的论坛,从接解破解开始认识到好多方面的知识, 在看雪论坛里我感觉到了每个人的热情,帮助和互爱,就象战争中同一阵线的将领和士兵,共同征服目标,在这里有感而发(虽然我之前只是在看贴,看贴不回贴,鄙视自己, 不过我没有专业知识,发的也是水贴,而且刚接触,所以想尽快吸收一下有什么相关的知识点, 谢罪! 马上要上班了,唉,五一过后的第一个夜班终于来临了! 希望大家多多支持! 2006-5-5 16:37 0
月中人雪币： 342 活跃值： (21) 能力值： ( LV12，RANK：730 ) 在线值：发帖 24 回帖 70 粉丝 1 关注私信	月中人 18 3 楼隐藏OD和debug试试有关电子书破解方面的 2006-5-5 16:55 0
alchemy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	alchemy 4 楼补充一下,这个软件没有加壳的,用 VB 6.0 编的,大小为30M,安装后可以试用,但部分功能不可以使用,只有这么多信息了我希望大家可以下来看看,是华军软件园的超链接的,大家放心下载! 名子是"电脑维修助手",感谢刚才楼上的提点,可以试试,也请大家把它下载下来分析一下 2006-5-5 16:56 0
alchemy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	alchemy 5 楼我要顶上去!我顶我顶我顶我顶~~~~ 2006-5-5 19:10 0
紫色缘雪币： 253 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 12 回帖 384 粉丝 0 关注私信	紫色缘 7 6 楼我顺便来支持你 2006-5-5 19:33 0
huziyi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	huziyi 7 楼楼主，支持你！我查了一下这个东东，它真正的主谋深藏在C:\windows\system32\pcwxzs\pcwxzs.exe 是一个隐藏文件。 upx 0.89.6-1.02/1.05-1.24(Delphi)加壳。我对它也没辄，我也是菜鸟哦！呵，呵！ 2006-5-6 00:01 0
alchemy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	alchemy 8 楼隐藏UPX壳,,,晕呼呼,有人脱过隐藏的壳吗？有老鸟出来指点我们一二吗？谢谢],不过,我也想提出一过问题,怎样才知道它是隐藏的呢,用什么方法查出来呢,请楼上解释一下好吗？ 2006-5-6 19:24 0
alchemy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	alchemy 9 楼有人研究过吗？大家一起来看看吧 2006-5-7 20:25 0
alchemy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	alchemy 10 楼顶住! 2006-5-8 01:40 0
alchemy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	alchemy 11 楼不知道自己要顶到什么时候 2006-5-9 15:44 0
alchemy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	alchemy 12 楼一天一天过去了,只好自己顶了 2006-5-10 09:13 0
Aifc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 48 粉丝 0 关注私信	Aifc 13 楼我这个门外汉帮顶。 2006-5-14 14:49 0
lbjfyw 雪币： 200 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	lbjfyw 14 楼在C:\windows\system32\pcwxzs\pcwxzs.exe 找到pcwxzs.exe用脱壳机便可脱壳。不知在何处设断？ 2006-5-14 22:29 0
lbjfyw 雪币： 200 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	lbjfyw 15 楼楼上，按你的方法好象不行！只是不出现注册错误提示，里面的内容还是提示注册，受限制。 2006-5-15 22:36 0
菜儿雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 193 粉丝 0 关注私信	菜儿 16 楼顶上去! 2006-5-15 23:11 0
alchemy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	alchemy 17 楼虽然我还在摸索着,不过真的很感谢大家,寒秋说的有道理,有方向了,我会朝着这个方向去摸索的,谢谢大家!如果还有弟兄跟进的,也请不要告知注册码,分析就可以了! 2006-5-16 17:07 0
lbjfyw 雪币： 200 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	lbjfyw 18 楼已成功追出注册码，注册成功！！！ 2006-5-16 21:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复