-
-
[原创]某不知名MBR锁机逆向分析
-
发表于: 2022-1-20 13:57
-
开始之前
这是我第一次逆向分析锁机密码,说的不对和不妥的地方欢迎改正
开始
今天在某企鹅群里发现了这个东西
我一看
你这辅助打激素了?长得那么肥?
于是我直接给他打开
不讲武德!偷袭!
这不得让你进1W3好好玩玩?
脱壳
不查壳了,直接扔进来
通过观察我们基本可以断定是upx
那就用我们最爱的ESP定律吧!
单击F8向下走一步
然后右键ESP,点击一键断点
如果你的OD没有这个功能的话,那就点击跟随到数据窗口,在数据窗口第一行右键,如下图
之后我们F9直接运行
断点下来之后在jmp命令上按F4(可能要按两次)
之后单击F8即可跳转到OEP
分析
但我发现即使跳转到OEP字符串也不是熟悉的易语言
于是我下了一个CreateFileA的断点
他释放了一个dll,暂时不清楚是干嘛用的
反正不是好东西
现在转到00401000搜索字符串
真行啊字符串都不加密
这不就和裸奔一样了吗
然后我在这两个可疑字符串段头下了断点
之后F9直接运行
熟悉的警告
我直接给他允许了 (因为我从来不用win自带的任务管理器)
还挺唬人的
我这可不叫破解昂,我可没修改过你的任何一个字节[手动滑稽]
之后他断下了
这个函数有很多病毒界面的字符串,基本可以确定密码是在这里生成的
上图这个跳转我不太理解,好像正常都是跳过去,我直接修改标志位让他运行下去了
我们一步一步跟到这个位置
这时候EAX上已经有了ID号
接着单步跟下去
经过上面的call之后密码赫然出现在EAX上
那么我们就可以断定00401810这个call就是生成密码的函数
[招生]科锐逆向工程师培训(2025年3月11日实地,远程教学同时开班, 第52期)!
最后于 2022-1-23 16:38
被Axinger编辑
,原因:
赞赏记录
参与人
雪币
留言
时间
飘零丶
为你点赞!
2025-1-19 01:49
一路南寻
为你点赞!
2024-12-30 05:28
伟叔叔
为你点赞~
2023-3-18 04:27
PLEBFE
为你点赞~
2023-1-13 00:59
AlphaYang
为你点赞~
2022-1-20 22:20
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
不好意思表达有些欠缺... |
|
|
|
