首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]请高手帮找出短点搞了十几天,服了..(提示:->"?效的暂?瘁!).
发表于: 2006-5-29 08:51 4466

[求助]请高手帮找出短点搞了十几天,服了..(提示:->"?效的暂?瘁!).

haoxinnila 活跃值
2006-5-29 08:51
4466
补充一下:这软件机器码是3534872864  壳:ASPack 2.12 -> Alexey Solodovnikov 脱壳后是Borland Delphi 6.0 - 7.0   提示:"?效的暂?瘁!"                                                                                                                                                                                                           * Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00527D2F(U)
|
:00527D19 8D45F8                  lea eax, dword ptr [ebp-08]
:00527D1C E8C7C6EDFF              call 004043E8
:00527D21 8D45FC                  lea eax, dword ptr [ebp-04]
:00527D24 E8BFC6EDFF              call 004043E8
:00527D29 C3                      ret

:00527D2A E959BFEDFF              jmp 00403C88
:00527D2F EBE8                    jmp 00527D19
:00527D31 8BC3                    mov eax, ebx
:00527D33 5E                      pop esi
:00527D34 5B                      pop ebx
:00527D35 59                      pop ecx
:00527D36 59                      pop ecx
:00527D37 5D                      pop ebp
:00527D38 C3                      ret

:00527D39 000000                  BYTE  3 DUP(0)

:00527D3C FFFFFFFF                BYTE  4 DUP(0ffh)

:00527D40 2900                    sub dword ptr [eax], eax
:00527D42 0000                    add byte ptr [eax], al
:00527D44 53                      push ebx
:00527D45 4F                      dec edi
:00527D46 46                      inc esi
:00527D47 54                      push esp
:00527D48 57                      push edi
:00527D49 41                      inc ecx
:00527D4A 52                      push edx
:00527D4B 45                      inc ebp
:00527D4C 5C                      pop esp
:00527D4D 4D                      dec ebp
:00527D4E 6963726F736F66          imul esp, dword ptr [ebx+72],

666F736F
:00527D55 745C                    je 00527DB3
:00527D57 57                      push edi
:00527D58 696E646F77735C          imul ebp, dword ptr [esi+64],

5C73776F
:00527D5F 43                      inc ebx
:00527D60 7572                    jne 00527DD4
:00527D62 7265                    jb 00527DC9
:00527D64 6E                      outsb
:00527D65 7456                    je 00527DBD
:00527D67 65                      BYTE 065h

:00527D68 7273                    jb 00527DDD
:00527D6A 696F6E000000FF          imul ebp, dword ptr [edi+6E],

FF000000
:00527D71 FFFFFF                  BYTE  3 DUP(0ffh)

:00527D74 0F0000                  sldt dword ptr [eax]
:00527D77 005242                  add byte ptr [edx+42], dl
:00527D7A 52                      push edx
:00527D7B 6F                      outsd
:00527D7C 756C                    jne 00527DEA
:00527D7E 65                      BYTE 065h

:00527D7F 7474                    je 00527DF5
:00527D81 65                      BYTE 065h

:00527D82 43                      inc ebx
:00527D83 6F                      outsd
:00527D84 64                      BYTE 064h

:00527D85 653800                  cmp byte ptr gs:[eax], al
:00527D88 C6801403000000          mov byte ptr [eax+00000314], 00
:00527D8F E8D84AF5FF              call 0047C86C
:00527D94 C3                      ret

:00527D95 8D4000                  lea eax, dword ptr [eax+00]
:00527D98 55                      push ebp
:00527D99 8BEC                    mov ebp, esp
:00527D9B 6A00                    push 00000000
:00527D9D 53                      push ebx
:00527D9E 8BD8                    mov ebx, eax
:00527DA0 33C0                    xor eax, eax
:00527DA2 55                      push ebp
:00527DA3 68167E5200              push 00527E16
:00527DA8 64FF30                  push dword ptr fs:[eax]
:00527DAB 648920                  mov dword ptr fs:[eax], esp
:00527DAE 8D55FC                  lea edx, dword ptr [ebp-04]
:00527DB1 8B830C030000            mov eax, dword ptr [ebx+0000030C]
:00527DB7 E86083F3FF              call 0046011C
:00527DBC 8B55FC                  mov edx, dword ptr [ebp-04]
:00527DBF 8BC3                    mov eax, ebx
:00527DC1 E8C6FEFFFF              call 00527C8C
:00527DC6 84C0                    test al, al
:00527DC8 7528                    jne 00527DF2
:00527DCA A1C8C55200              mov eax, dword ptr [0052C5C8]
:00527DCF 8B00                    mov eax, dword ptr [eax]
:00527DD1 80B87009000000          cmp byte ptr [eax+00000970], 00
:00527DD8 740C                    je 00527DE6

* Possible StringData Ref from Code Obj ->"?效的暂?瘁!"
                                  |
:00527DDA B82C7E5200              mov eax, 00527E2C

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (11)
hermit
雪    币: 10
活跃值: (130)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
2
注意 00527DB7 和 00527DC1 的call

:00527DCA A1C8C55200              mov eax, dword ptr [0052C5C8]
:00527DCF 8B00                    mov eax, dword ptr [eax]
:00527DD1 80B87009000000          cmp byte ptr [eax+00000970], 00
:00527DD8 740C                    je 00527DE6

0052C5C8是一个全局变量。指向一个结构。这个结构的0x970h处应该是一个比较关键bool值。
2006-5-29 09:36
0
kakamo
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
我咋就看不出咧,郁闷ing……
2006-5-29 11:28
0
wangshq397
雪    币: 277
活跃值: (312)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
私信
4
:00527DBC                  mov edx, dword ptr [ebp-04]
:00527DBF                  mov eax, ebx
变成:
:00527DBC                   mov edx, dword ptr [ebp-04]
:00527DBF                   mov eax, edx
试试
2006-5-29 14:36
0
scmeec
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
:00527DBC 8B55FC                  mov edx, dword ptr [ebp-04]
:00527DBF 8BC3                    mov eax, ebx
:00527DC1 E8C6FEFFFF              call 00527C8C

应该是明码比较吧,不知道说的对不对
2006-5-29 21:17
0
haoxinnila
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
这里的朋友热情大方
2006-5-30 01:26
0
haoxinnila
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
最初由 wangshq397 发布
:00527DBC mov edx, dword ptr [ebp-04]
:00527DBF mov eax, ebx
变成:
:00527DBC mov edx, dword ptr [ebp-04]
:00527DBF mov eax, edx
........
我不会破了,为了破这软件,我的家快破了,原因我一有时间就搞这玩意,请大家帮帮忙,介绍个高手帮弄一下
2006-5-30 16:47
0
luzhmu
雪    币: 86
活跃值: (1163)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
最初由 haoxinnila 发布
我不会破了,为了破这软件,我的家快破了,原因我一有时间就搞这玩意,请大家帮帮忙,介绍个高手帮弄一下

乱说
2006-5-30 17:05
0
haoxinnila
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
最初由 luzhmu 发布

乱说
吵架是有的,就为这软件!!!斑竹能看见就好了!!!
2006-5-31 02:26
0
kywds
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
:00527D9B 6A00                    push 00000000               \
:00527D9D 53                      push ebx                    |
:00527D9E 8BD8                    mov ebx, eax                |
:00527DA0 33C0                    xor eax, eax                 }异常
:00527DA2 55                      push ebp                    |处理
:00527DA3 68167E5200              push 00527E16               |
:00527DA8 64FF30                  push dword ptr fs:[eax]     |
:00527DAB 648920                  mov dword ptr fs:[eax], esp /
:00527DAE 8D55FC                  lea edx, dword ptr [ebp-04]
:00527DB1 8B830C030000            mov eax, dword ptr [ebx+0000030C]
:00527DB7 E86083F3FF              call 0046011C
:00527DBC 8B55FC                  mov edx, dword ptr [ebp-04]
:00527DBF 8BC3                    mov eax, ebx
:00527DC1 E8C6FEFFFF              call 00527C8C  关键call
:00527DC6 84C0                    test al, al
:00527DC8 7528                    jne 00527DF2 爆破点,注意下面两个参数
:00527DCA A1C8C55200              mov eax, dword ptr [0052C5C8]
:00527DCF 8B00                    mov eax, dword ptr [eax]
:00527DD1 80B87009000000          cmp byte ptr [eax+00000970], 00
:00527DD8 740C                    je 00527DE6
不对的地方还请原谅
2006-5-31 11:51
0
kywds
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
你的程序是不是有壳呀,跳转的地方看上去怪怪的
2006-5-31 11:58
0
haoxinnila
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
最初由 kywds 发布
你的程序是不是有壳呀,跳转的地方看上去怪怪的
补充一下:这软件机器码是3534872864  壳:ASPack 2.12 -> Alexey Solodovnikov 脱壳后是Borland Delphi 6.0 - 7.0
2006-6-1 01:27
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//