[原创]常见自校检分析实例-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]常见自校检分析实例

发表于: 2006-7-1 17:54 255008

[原创]常见自校检分析实例

laomms

2006-7-1 17:54

255008

查看主题内容

收藏・194

免费・7

支持

最新回复 (244) ◀ 1 2 3 4 5 6 7 8 9 10 ▶
yaoguen 雪币： 4330 活跃值： (4236) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 141 粉丝 0 关注私信	yaoguen 101 楼学习了,多谢分享 2007-7-8 11:10 0
xutuan 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	xutuan 102 楼太好了.我也想多学一些,我的QQ是554879027,我们多联系啊. 2007-7-27 09:48 0
mzscym 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	mzscym 103 楼谢谢laomms的好文章，随着自校检的程序增多，论坛这类问题也多起来了，这篇文章正好帮助一些朋友了解这块。 2007-7-27 10:22 0
hero3000 雪币： 348 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 86 粉丝 0 关注私信	hero3000 104 楼哈哈，刚好最近在破一串口监测工具，脱壳后运行一会就提示被破坏退出。已经将自检验去掉，按照文章的介绍试试其他方法。 2007-7-27 21:09 0
爱情几何雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	爱情几何 105 楼谢谢！！受教了！！ 2007-7-29 01:58 0
magicjia 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	magicjia 106 楼简直太帅了，佩服啊，崇拜，感激。。。。。。 2007-7-31 16:03 0
hero3000 雪币： 348 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 86 粉丝 0 关注私信	hero3000 107 楼哈哈，软件已经跟出注册码，明码比较，虽然前面多次判断跳走，但在od的威力下，作用不大。这个软件的自检验比较有意思，定时器对一全局变量加加，在另外的地方进行清零，如果检测到改变则不清零，计数到设定值就提示退出。比较容易跟踪到加的地方，清零的地方不容易找到。这个定时器不能停，还需要它做其他事情。所以nop掉变量加加，就解决了自检验的问题。另外如果自检验提示退出，会将自身删除的（_deleteme.bat），用16进制编辑器将后缀改成其他，例如*.TXT即可。已经作出内存注册机，不过不会散布。仅从技术角度讨论，希望作者不要怪我。这个软件是MultiComWatch 2.1.3 Bulid 52，好像已经不更新了。感兴趣的可以试试。 2007-7-31 20:32 0
hdking 雪币： 215 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	hdking 108 楼谢谢楼主！这么详细的文章，非常详细明白，对我等初学者真是太好了！ 2007-8-2 17:17 0
叶开雪币： 211 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 64 粉丝 0 关注私信	叶开 109 楼支持一下!谢谢! 2007-8-3 11:15 0
sunsjw 雪币： 8599 活跃值： (5065) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1248 粉丝 12 关注私信	sunsjw 1 110 楼这个文章我看懂了。 2007-8-5 01:26 0
wuxinhua 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 31 粉丝 0 关注私信	wuxinhua 111 楼怎么向上找call首部？？？ 2007-8-5 11:10 0
heizihui 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	heizihui 112 楼很多软件利用CRC或者MD5实现磁盘文件校验或者内存映像校验等，对此类软件我们可以利用算法识别工具找到密码学算法和核心，然后层层向上，找到最初的调用地方更改其流程方向。显示为MD5的怎么弄呀？查找不到地址呀！ 2007-10-1 12:05 0
李红利姿雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 10 粉丝 0 关注私信	李红利姿 113 楼看过,先收藏一份了 2007-10-9 14:12 0
wtxpwh 雪币： 48 活跃值： (491) 能力值： ( LV8，RANK：130 ) 在线值：发帖 39 回帖 327 粉丝 16 关注私信	wtxpwh 1 114 楼不错，这几天就碰到过没法处理软件没有加壳，哪怕你动一个句号都使程序不能运行。回去好好研究研究！！多谢！！！ 2007-10-12 15:54 0
bianhei 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	bianhei 115 楼谢谢了学习中 2007-10-25 09:48 0
电子高手雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 46 粉丝 0 关注私信	电子高手 116 楼谢谢楼主，不过我是一只菜鸟看不懂呀，求求各位老大帮我解决一下我用PEID查显示 ASPack 2.12 -> Alexey Solodovnikov [Overlay] 然后用工具脱掉壳之后双击没反应，然后我搞了将近3天3夜也搞不出来请大虾们帮我高一下，帮我破一下这个软件，小弟在这先行谢过软件下载地址是http://www.flgzs.net/product_display.asp?prono=2 2007-10-28 14:35 0
ccsccccc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	ccsccccc 117 楼 HAOhao zhenyu dao zhegewenti 2007-10-29 20:35 0
ccsccccc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	ccsccccc 118 楼 xiexie 2007-10-29 20:35 0
yfyfj 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	yfyfj 119 楼这文章不错. 刚好要看自校检的东西. 谢谢 2007-10-30 11:55 0
zhouxl 雪币： 240 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	zhouxl 1 120 楼很好。很强大 2007-10-30 22:19 0
langshibin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	langshibin 121 楼学习中，谢谢分享!!! 2007-10-31 10:53 0
studykkjs 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 222 粉丝 0 关注私信	studykkjs 122 楼老大给的文章不错。。不过貌似我研究的那个自校验更强大。。任何改动都会引发失败。。连把程序文件名字改了都不行。 2007-12-20 22:35 0
yxylzm 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	yxylzm 123 楼帮忙分析这个自校验 2007-12-30 20:32 0
yxylzm 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	yxylzm 124 楼帮忙分析这个自校验 http://www.robot51.com/robot51/richshop-setup.exe 2007-12-30 20:33 0
lovebj 雪币： 188 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	lovebj 125 楼希望多些类似文章、此贴顶的时间最长 2007-12-31 20:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

laomms

发帖

384

回帖

1370

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (244) ◀ 1 2 3 4 5 6 7 8 9 10 ▶
yaoguen 雪币： 4330 活跃值： (4236) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 141 粉丝 0 关注私信	yaoguen 101 楼学习了,多谢分享 2007-7-8 11:10 0
xutuan 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	xutuan 102 楼太好了.我也想多学一些,我的QQ是554879027,我们多联系啊. 2007-7-27 09:48 0
mzscym 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	mzscym 103 楼谢谢laomms的好文章，随着自校检的程序增多，论坛这类问题也多起来了，这篇文章正好帮助一些朋友了解这块。 2007-7-27 10:22 0
hero3000 雪币： 348 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 86 粉丝 0 关注私信	hero3000 104 楼哈哈，刚好最近在破一串口监测工具，脱壳后运行一会就提示被破坏退出。已经将自检验去掉，按照文章的介绍试试其他方法。 2007-7-27 21:09 0
爱情几何雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	爱情几何 105 楼谢谢！！受教了！！ 2007-7-29 01:58 0
magicjia 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	magicjia 106 楼简直太帅了，佩服啊，崇拜，感激。。。。。。 2007-7-31 16:03 0
hero3000 雪币： 348 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 86 粉丝 0 关注私信	hero3000 107 楼哈哈，软件已经跟出注册码，明码比较，虽然前面多次判断跳走，但在od的威力下，作用不大。这个软件的自检验比较有意思，定时器对一全局变量加加，在另外的地方进行清零，如果检测到改变则不清零，计数到设定值就提示退出。比较容易跟踪到加的地方，清零的地方不容易找到。这个定时器不能停，还需要它做其他事情。所以nop掉变量加加，就解决了自检验的问题。另外如果自检验提示退出，会将自身删除的（_deleteme.bat），用16进制编辑器将后缀改成其他，例如*.TXT即可。已经作出内存注册机，不过不会散布。仅从技术角度讨论，希望作者不要怪我。这个软件是MultiComWatch 2.1.3 Bulid 52，好像已经不更新了。感兴趣的可以试试。 2007-7-31 20:32 0
hdking 雪币： 215 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	hdking 108 楼谢谢楼主！这么详细的文章，非常详细明白，对我等初学者真是太好了！ 2007-8-2 17:17 0
叶开雪币： 211 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 64 粉丝 0 关注私信	叶开 109 楼支持一下!谢谢! 2007-8-3 11:15 0
sunsjw 雪币： 8599 活跃值： (5065) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1248 粉丝 12 关注私信	sunsjw 1 110 楼这个文章我看懂了。 2007-8-5 01:26 0
wuxinhua 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 31 粉丝 0 关注私信	wuxinhua 111 楼怎么向上找call首部？？？ 2007-8-5 11:10 0
heizihui 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	heizihui 112 楼很多软件利用CRC或者MD5实现磁盘文件校验或者内存映像校验等，对此类软件我们可以利用算法识别工具找到密码学算法和核心，然后层层向上，找到最初的调用地方更改其流程方向。显示为MD5的怎么弄呀？查找不到地址呀！ 2007-10-1 12:05 0
李红利姿雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 10 粉丝 0 关注私信	李红利姿 113 楼看过,先收藏一份了 2007-10-9 14:12 0
wtxpwh 雪币： 48 活跃值： (491) 能力值： ( LV8，RANK：130 ) 在线值：发帖 39 回帖 327 粉丝 16 关注私信	wtxpwh 1 114 楼不错，这几天就碰到过没法处理软件没有加壳，哪怕你动一个句号都使程序不能运行。回去好好研究研究！！多谢！！！ 2007-10-12 15:54 0
bianhei 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	bianhei 115 楼谢谢了学习中 2007-10-25 09:48 0
电子高手雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 46 粉丝 0 关注私信	电子高手 116 楼谢谢楼主，不过我是一只菜鸟看不懂呀，求求各位老大帮我解决一下我用PEID查显示 ASPack 2.12 -> Alexey Solodovnikov [Overlay] 然后用工具脱掉壳之后双击没反应，然后我搞了将近3天3夜也搞不出来请大虾们帮我高一下，帮我破一下这个软件，小弟在这先行谢过软件下载地址是http://www.flgzs.net/product_display.asp?prono=2 2007-10-28 14:35 0
ccsccccc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	ccsccccc 117 楼 HAOhao zhenyu dao zhegewenti 2007-10-29 20:35 0
ccsccccc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	ccsccccc 118 楼 xiexie 2007-10-29 20:35 0
yfyfj 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	yfyfj 119 楼这文章不错. 刚好要看自校检的东西. 谢谢 2007-10-30 11:55 0
zhouxl 雪币： 240 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	zhouxl 1 120 楼很好。很强大 2007-10-30 22:19 0
langshibin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	langshibin 121 楼学习中，谢谢分享!!! 2007-10-31 10:53 0
studykkjs 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 222 粉丝 0 关注私信	studykkjs 122 楼老大给的文章不错。。不过貌似我研究的那个自校验更强大。。任何改动都会引发失败。。连把程序文件名字改了都不行。 2007-12-20 22:35 0
yxylzm 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	yxylzm 123 楼帮忙分析这个自校验 2007-12-30 20:32 0
yxylzm 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	yxylzm 124 楼帮忙分析这个自校验 http://www.robot51.com/robot51/richshop-setup.exe 2007-12-30 20:33 0
lovebj 雪币： 188 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	lovebj 125 楼希望多些类似文章、此贴顶的时间最长 2007-12-31 20:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复