首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
菜鸟挑战高难度
发表于: 2006-5-29 09:46 5996

菜鸟挑战高难度

k无敌 活跃值
2006-5-29 09:46
5996
破解软件:庄家秘书7.6试用版
调试工具:PEID v0.94,OllyDbg

操作:
   首先查壳:Microsoft Visual Basic 5.0 / 6.0,区段:.text~!

以为未加壳,用OD载入>查找字符串,
发现字符串表中显示的是:
超级字串参考+        
地址       反汇编                                    文本字串
00401100   PUSH chen.00403418                        (初始 cpu 选择)
00403AD1   MOV EDX,chen.004875D8                     p7@
00403AE5   MOV EDX,chen.00480000                     p7@
00403AF9   MOV EDX,chen.004802F8                     p7@
004043D1   MOV EDX,chen.004918D8                     0?@
00416F6B   PUSH chen.00416F48                        ,oa

怀疑是已加壳再加伪装壳

OD调试信息是以
00401100 > $  68 18344000   PUSH chen.00403418                       ;  (初始 cpu 选择)
00401105   .  E8 F0FFFFFF   CALL <JMP.&MSVBVM60.#100>
0040110A   .  0000          ADD BYTE PTR DS:[EAX],AL
0040110C   .  0000          ADD BYTE PTR DS:[EAX],AL
0040110E   .  0000          ADD BYTE PTR DS:[EAX],AL
00401110   .  3000          XOR BYTE PTR DS:[EAX],AL
00401112   .  0000          ADD BYTE PTR DS:[EAX],AL
00401114   .  3800          CMP BYTE PTR DS:[EAX],AL
00401116   .  0000          ADD BYTE PTR DS:[EAX],AL
00401118   .  0000          ADD BYTE PTR DS:[EAX],AL
0040111A   .  0000          ADD BYTE PTR DS:[EAX],AL
0040111C   .  8663 0C       XCHG BYTE PTR DS:[EBX+C],AH
0040111F   .  CE            INTO
00401120   .  1845 4E       SBB BYTE PTR SS:[EBP+4E],AL
00401123   .  48            DEC EAX
00401124   .  B3 9E         MOV BL,9E
00401126   .  7C 2D         JL SHORT chen.00401155
00401128   .  1C 1F         SBB AL,1F

请问要怎样才能调试出这个软件真正加的是什么壳????

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (14)
kanxue
雪    币: 47147
活跃值: (20405)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
2
VB6程序,没加壳。
你自己找个VB6程序打开对比一下。
2006-5-29 10:01
0
k无敌
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
谢谢坛主回答我的问题,晚上去喝两杯庆祝一下,呵呵~~!

可是我还有个疑问就是:

既然这样不算是伪装壳,那为什么用OD打开却不能显示出字符串呢???

情坛主再为小弟解开这个疑惑,好吗??
2006-5-29 10:06
0
kanxue
雪    币: 47147
活跃值: (20405)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
4
VB字符串是unicode编码,你以unicode查找看看
2006-5-29 10:22
0
k无敌
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
查找UNICODE只显示出这样的:

超级字串参考+        
地址       反汇编                                    文本字串
00401100   PUSH chen.00403418                        (初始 cpu 选择)
00416F6B   PUSH chen.00416F48                        ,oa<oa

用W32Dasm无极版载入后,想点字符串参考却是灰色按钮,找不到字符串根本就不能进行编译破解,晕晕~~~!

望坛主能多多指教~~~!
2006-5-29 10:32
0
k无敌
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
是不是字符串被隐藏了呢???
2006-5-29 11:39
0
紫色缘
雪    币: 253
活跃值: (25)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
私信
7
请用C32dasm来反汇编
2006-5-29 11:51
0
luzhmu
雪    币: 86
活跃值: (1163)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
果然是高难度
2006-5-29 14:01
0
wangshq397
雪    币: 277
活跃值: (312)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
私信
9
p-code编译
2006-5-29 14:33
0
ww990
雪    币: 217
活跃值: (91)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
10
最初由 luzhmu 发布
果然是高难度

2006-5-29 15:01
0
wopasi
雪    币: 184
活跃值: (47)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
11
那就用api断点啊 vb的api 很好找的
2006-5-29 15:08
0
hjm
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
hjm
12
用专用工具调试
2006-5-29 16:22
0
k无敌
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
修改错误提示的字符串为11111111,用C32asm还是查找不到,真是难
2006-5-29 16:28
0
LucIfer
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
没有加壳,改类型的文件都是那样的入口
2006-5-29 22:12
0
k无敌
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
没有加壳为什么OllyDBG和W32Dasm都显示不了字符串呢?

有什么工具可以让他显示出来呢???

如果用OllyDBG直接用命令下有效的断点应该用什么命令???

请大虾们多指教~~~~~~~~~~~!
2006-5-30 13:52
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//