首页
社区
课程
招聘
菜鸟挑战高难度
发表于: 2006-5-29 09:46 6001

菜鸟挑战高难度

2006-5-29 09:46
6001
破解软件:庄家秘书7.6试用版
调试工具:PEID v0.94,OllyDbg

操作:
   首先查壳:Microsoft Visual Basic 5.0 / 6.0,区段:.text~!

以为未加壳,用OD载入>查找字符串,
发现字符串表中显示的是:
超级字串参考+        
地址       反汇编                                    文本字串
00401100   PUSH chen.00403418                        (初始 cpu 选择)
00403AD1   MOV EDX,chen.004875D8                     p7@
00403AE5   MOV EDX,chen.00480000                     p7@
00403AF9   MOV EDX,chen.004802F8                     p7@
004043D1   MOV EDX,chen.004918D8                     0?@
00416F6B   PUSH chen.00416F48                        ,oa

怀疑是已加壳再加伪装壳

OD调试信息是以
00401100 > $  68 18344000   PUSH chen.00403418                       ;  (初始 cpu 选择)
00401105   .  E8 F0FFFFFF   CALL <JMP.&MSVBVM60.#100>
0040110A   .  0000          ADD BYTE PTR DS:[EAX],AL
0040110C   .  0000          ADD BYTE PTR DS:[EAX],AL
0040110E   .  0000          ADD BYTE PTR DS:[EAX],AL
00401110   .  3000          XOR BYTE PTR DS:[EAX],AL
00401112   .  0000          ADD BYTE PTR DS:[EAX],AL
00401114   .  3800          CMP BYTE PTR DS:[EAX],AL
00401116   .  0000          ADD BYTE PTR DS:[EAX],AL
00401118   .  0000          ADD BYTE PTR DS:[EAX],AL
0040111A   .  0000          ADD BYTE PTR DS:[EAX],AL
0040111C   .  8663 0C       XCHG BYTE PTR DS:[EBX+C],AH
0040111F   .  CE            INTO
00401120   .  1845 4E       SBB BYTE PTR SS:[EBP+4E],AL
00401123   .  48            DEC EAX
00401124   .  B3 9E         MOV BL,9E
00401126   .  7C 2D         JL SHORT chen.00401155
00401128   .  1C 1F         SBB AL,1F

请问要怎样才能调试出这个软件真正加的是什么壳????

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (14)
雪    币: 47147
活跃值: (20445)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
2
VB6程序,没加壳。
你自己找个VB6程序打开对比一下。
2006-5-29 10:01
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
谢谢坛主回答我的问题,晚上去喝两杯庆祝一下,呵呵~~!

可是我还有个疑问就是:

既然这样不算是伪装壳,那为什么用OD打开却不能显示出字符串呢???

情坛主再为小弟解开这个疑惑,好吗??
2006-5-29 10:06
0
雪    币: 47147
活跃值: (20445)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
4
VB字符串是unicode编码,你以unicode查找看看
2006-5-29 10:22
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
查找UNICODE只显示出这样的:

超级字串参考+        
地址       反汇编                                    文本字串
00401100   PUSH chen.00403418                        (初始 cpu 选择)
00416F6B   PUSH chen.00416F48                        ,oa<oa

用W32Dasm无极版载入后,想点字符串参考却是灰色按钮,找不到字符串根本就不能进行编译破解,晕晕~~~!

望坛主能多多指教~~~!
2006-5-29 10:32
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
是不是字符串被隐藏了呢???
2006-5-29 11:39
0
雪    币: 253
活跃值: (25)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
7
请用C32dasm来反汇编
2006-5-29 11:51
0
雪    币: 86
活跃值: (1183)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
果然是高难度
2006-5-29 14:01
0
雪    币: 277
活跃值: (312)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
9
p-code编译
2006-5-29 14:33
0
雪    币: 217
活跃值: (91)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
10
最初由 luzhmu 发布
果然是高难度

2006-5-29 15:01
0
雪    币: 184
活跃值: (47)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
那就用api断点啊 vb的api 很好找的
2006-5-29 15:08
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hjm
12
用专用工具调试
2006-5-29 16:22
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
修改错误提示的字符串为11111111,用C32asm还是查找不到,真是难
2006-5-29 16:28
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
没有加壳,改类型的文件都是那样的入口
2006-5-29 22:12
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
没有加壳为什么OllyDBG和W32Dasm都显示不了字符串呢?

有什么工具可以让他显示出来呢???

如果用OllyDBG直接用命令下有效的断点应该用什么命令???

请大虾们多指教~~~~~~~~~~~!
2006-5-30 13:52
0
游客
登录 | 注册 方可回帖
返回
//