[原创]常见自校检分析实例-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]常见自校检分析实例

发表于: 2006-7-1 17:54 255009

[原创]常见自校检分析实例

laomms

2006-7-1 17:54

255009

查看主题内容

收藏・194

免费・7

支持

最新回复 (244) ◀ 1 2 3 4 5 6 7 8 9 10 ▶
hrxniu 雪币： 192 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 78 粉丝 0 关注私信	hrxniu 151 楼非常感谢大侠分享,受教很多 2008-5-9 13:50 0
twtihss 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	twtihss 152 楼谢谢分享.正在学习中!!!!!!!!!!!! 2008-5-9 17:45 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 153 楼虽说是老贴了.但给了我很大的提高.谢谢 2008-5-24 23:19 0
suyuanredi 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	suyuanredi 154 楼学习学习,多谢分享 2008-5-31 16:48 0
Rcookie 雪币： 202 活跃值： (295) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	Rcookie 155 楼好文章阿.. <頂起>!! 2008-5-31 21:31 0
achangyq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 14 粉丝 0 关注私信	achangyq 156 楼程序脱壳修复了，还是不能运行，但没有提示，有欲启动而又退出趋势。分析应该是程序有自效验。OD载入如下： OD提示：【程序已中止，退出代码】 7C92EB94 > C3 RETN 7C92EB95 8DA424 00000000 LEA ESP,DWORD PTR SS:[ESP] 7C92EB9C 8D6424 00 LEA ESP,DWORD PTR SS:[ESP] 7C92EBA0 90 NOP 7C92EBA1 90 NOP 7C92EBA2 90 NOP 7C92EBA3 90 NOP 7C92EBA4 90 NOP 7C92EBA5 > 8D5424 08 LEA EDX,DWORD PTR SS:[ESP+8] 7C92EBA9 CD 2E INT 2E 7C92EBAB C3 RETN 7C92EBAC > 55 PUSH EBP 7C92EBAD 8BEC MOV EBP,ESP 7C92EBAF 9C PUSHFD 7C92EBB0 81EC D0020000 SUB ESP,2D0 7C92EBB6 8985 DCFDFFFF MOV DWORD PTR SS:[EBP-224],EAX 7C92EBBC 898D D8FDFFFF MOV DWORD PTR SS:[EBP-228],ECX 7C92EBC2 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8] 7C92EBC5 8B4D 04 MOV ECX,DWORD PTR SS:[EBP+4] 7C92EBC8 8948 0C MOV DWORD PTR DS:[EAX+C],ECX 7C92EBCB 8D85 2CFDFFFF LEA EAX,DWORD PTR SS:[EBP-2D4] 7C92EBD1 8988 B8000000 MOV DWORD PTR DS:[EAX+B8],ECX 7C92EBD7 8998 A4000000 MOV DWORD PTR DS:[EAX+A4],EBX 7C92EBDD 8990 A8000000 MOV DWORD PTR DS:[EAX+A8],EDX 7C92EBE3 89B0 A0000000 MOV DWORD PTR DS:[EAX+A0],ESI 7C92EBE9 89B8 9C000000 MOV DWORD PTR DS:[EAX+9C],EDI 7C92EBEF 8D4D 0C LEA ECX,DWORD PTR SS:[EBP+C] 7C92EBF2 8988 C4000000 MOV DWORD PTR DS:[EAX+C4],ECX 小弟初学解密，不知道这是自效验还是------？？？还望大侠们多多点拨为谢！ 2008-6-3 18:53 0
风谣雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 81 粉丝 0 关注私信	风谣 157 楼好东西，我一般是跟退出函数找的，。。那样累一点，不过肯定成功的，呵呵 2008-6-5 08:40 0
风谣雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 81 粉丝 0 关注私信	风谣 158 楼你好像断错地方了，断在退出函数上的 2008-6-5 08:41 0
风谣雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 81 粉丝 0 关注私信	风谣 159 楼又看了一遍，哎，学习还要学习啊 2008-6-6 16:41 0
yeduwuren 雪币： 443 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	yeduwuren 160 楼文章很详细但是我发现有些文件只校验某一部分比如某个DLL 文件还有一种校验我不知到怎么搞的你怎么改都行就是不能改版本信息不知道这个校验属于那一种 2008-6-12 20:23 0
kit99 雪币： 215 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	kit99 161 楼好文章，做个记号，下次好找 2008-6-12 20:53 0
nest 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 81 粉丝 0 关注私信	nest 162 楼好文章，感谢~~~~~~ 2008-6-16 11:52 0
fyd 雪币： 44 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 179 粉丝 0 关注私信	fyd 163 楼学习这方面的知识，下了，谢谢！ 2008-6-17 14:04 0
billlin 雪币： 207 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 23 回帖 68 粉丝 3 关注私信	billlin 1 164 楼学习学习中！ 2008-6-18 15:12 0
nyssq 雪币： 113 活跃值： (191) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	nyssq 165 楼谢谢楼主了,很实力 2008-6-22 18:25 0
glueshred 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 45 粉丝 0 关注私信	glueshred 166 楼好好研究下。。。。 2008-6-23 19:01 0
fryfff 雪币： 204 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 25 粉丝 0 关注私信	fryfff 167 楼学习学习,多谢分享. 2008-6-28 16:06 0
superliao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	superliao 168 楼多谢了，学习了啊 2008-6-28 16:49 0
jackieron 雪币： 204 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 15 粉丝 0 关注私信	jackieron 169 楼不错,我现在正遇到同样的问题...不过是直接改掉了跳转指令......... 目前只了解自检机制....不知道其他自检机制............... 2008-6-29 11:00 0
清风小子雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 83 粉丝 0 关注私信	清风小子 170 楼好贴收藏 2008-7-30 16:50 0
qjmotor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	qjmotor 171 楼看过,先收藏一份了 2008-8-5 16:56 0
rwolfao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	rwolfao 172 楼谢谢分享了太有用了 2008-8-11 18:20 0
fairynull 雪币： 421 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 292 粉丝 0 关注私信	fairynull 173 楼好文章，易学易懂。 2008-8-30 12:01 0
JOYDIY 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	JOYDIY 174 楼好文章,对我们新手确实帮助很大 2008-8-31 15:53 0
dxaso 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	dxaso 175 楼看不懂,不知道在说什么 2008-9-13 14:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

laomms

发帖

384

回帖

1370

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (244) ◀ 1 2 3 4 5 6 7 8 9 10 ▶
hrxniu 雪币： 192 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 78 粉丝 0 关注私信	hrxniu 151 楼非常感谢大侠分享,受教很多 2008-5-9 13:50 0
twtihss 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	twtihss 152 楼谢谢分享.正在学习中!!!!!!!!!!!! 2008-5-9 17:45 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 153 楼虽说是老贴了.但给了我很大的提高.谢谢 2008-5-24 23:19 0
suyuanredi 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	suyuanredi 154 楼学习学习,多谢分享 2008-5-31 16:48 0
Rcookie 雪币： 202 活跃值： (295) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	Rcookie 155 楼好文章阿.. <頂起>!! 2008-5-31 21:31 0
achangyq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 14 粉丝 0 关注私信	achangyq 156 楼程序脱壳修复了，还是不能运行，但没有提示，有欲启动而又退出趋势。分析应该是程序有自效验。OD载入如下： OD提示：【程序已中止，退出代码】 7C92EB94 > C3 RETN 7C92EB95 8DA424 00000000 LEA ESP,DWORD PTR SS:[ESP] 7C92EB9C 8D6424 00 LEA ESP,DWORD PTR SS:[ESP] 7C92EBA0 90 NOP 7C92EBA1 90 NOP 7C92EBA2 90 NOP 7C92EBA3 90 NOP 7C92EBA4 90 NOP 7C92EBA5 > 8D5424 08 LEA EDX,DWORD PTR SS:[ESP+8] 7C92EBA9 CD 2E INT 2E 7C92EBAB C3 RETN 7C92EBAC > 55 PUSH EBP 7C92EBAD 8BEC MOV EBP,ESP 7C92EBAF 9C PUSHFD 7C92EBB0 81EC D0020000 SUB ESP,2D0 7C92EBB6 8985 DCFDFFFF MOV DWORD PTR SS:[EBP-224],EAX 7C92EBBC 898D D8FDFFFF MOV DWORD PTR SS:[EBP-228],ECX 7C92EBC2 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8] 7C92EBC5 8B4D 04 MOV ECX,DWORD PTR SS:[EBP+4] 7C92EBC8 8948 0C MOV DWORD PTR DS:[EAX+C],ECX 7C92EBCB 8D85 2CFDFFFF LEA EAX,DWORD PTR SS:[EBP-2D4] 7C92EBD1 8988 B8000000 MOV DWORD PTR DS:[EAX+B8],ECX 7C92EBD7 8998 A4000000 MOV DWORD PTR DS:[EAX+A4],EBX 7C92EBDD 8990 A8000000 MOV DWORD PTR DS:[EAX+A8],EDX 7C92EBE3 89B0 A0000000 MOV DWORD PTR DS:[EAX+A0],ESI 7C92EBE9 89B8 9C000000 MOV DWORD PTR DS:[EAX+9C],EDI 7C92EBEF 8D4D 0C LEA ECX,DWORD PTR SS:[EBP+C] 7C92EBF2 8988 C4000000 MOV DWORD PTR DS:[EAX+C4],ECX 小弟初学解密，不知道这是自效验还是------？？？还望大侠们多多点拨为谢！ 2008-6-3 18:53 0
风谣雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 81 粉丝 0 关注私信	风谣 157 楼好东西，我一般是跟退出函数找的，。。那样累一点，不过肯定成功的，呵呵 2008-6-5 08:40 0
风谣雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 81 粉丝 0 关注私信	风谣 158 楼你好像断错地方了，断在退出函数上的 2008-6-5 08:41 0
风谣雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 81 粉丝 0 关注私信	风谣 159 楼又看了一遍，哎，学习还要学习啊 2008-6-6 16:41 0
yeduwuren 雪币： 443 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	yeduwuren 160 楼文章很详细但是我发现有些文件只校验某一部分比如某个DLL 文件还有一种校验我不知到怎么搞的你怎么改都行就是不能改版本信息不知道这个校验属于那一种 2008-6-12 20:23 0
kit99 雪币： 215 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	kit99 161 楼好文章，做个记号，下次好找 2008-6-12 20:53 0
nest 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 81 粉丝 0 关注私信	nest 162 楼好文章，感谢~~~~~~ 2008-6-16 11:52 0
fyd 雪币： 44 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 179 粉丝 0 关注私信	fyd 163 楼学习这方面的知识，下了，谢谢！ 2008-6-17 14:04 0
billlin 雪币： 207 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 23 回帖 68 粉丝 3 关注私信	billlin 1 164 楼学习学习中！ 2008-6-18 15:12 0
nyssq 雪币： 113 活跃值： (191) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	nyssq 165 楼谢谢楼主了,很实力 2008-6-22 18:25 0
glueshred 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 45 粉丝 0 关注私信	glueshred 166 楼好好研究下。。。。 2008-6-23 19:01 0
fryfff 雪币： 204 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 25 粉丝 0 关注私信	fryfff 167 楼学习学习,多谢分享. 2008-6-28 16:06 0
superliao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	superliao 168 楼多谢了，学习了啊 2008-6-28 16:49 0
jackieron 雪币： 204 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 15 粉丝 0 关注私信	jackieron 169 楼不错,我现在正遇到同样的问题...不过是直接改掉了跳转指令......... 目前只了解自检机制....不知道其他自检机制............... 2008-6-29 11:00 0
清风小子雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 83 粉丝 0 关注私信	清风小子 170 楼好贴收藏 2008-7-30 16:50 0
qjmotor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	qjmotor 171 楼看过,先收藏一份了 2008-8-5 16:56 0
rwolfao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	rwolfao 172 楼谢谢分享了太有用了 2008-8-11 18:20 0
fairynull 雪币： 421 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 292 粉丝 0 关注私信	fairynull 173 楼好文章，易学易懂。 2008-8-30 12:01 0
JOYDIY 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	JOYDIY 174 楼好文章,对我们新手确实帮助很大 2008-8-31 15:53 0
dxaso 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	dxaso 175 楼看不懂,不知道在说什么 2008-9-13 14:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复