[原创]常见自校检分析实例-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]常见自校检分析实例

发表于: 2006-7-1 17:54 255118

[原创]常见自校检分析实例

laomms

2006-7-1 17:54

255118

查看主题内容

收藏・194

免费・7

支持

最新回复 (244) ◀ 1 2 3 4 5 6 7 8 9 10 ▶
爱琴海雪币： 1355 活跃值： (339) 能力值： ( LV13，RANK：920 ) 在线值：发帖 74 回帖 660 粉丝 7 关注私信	爱琴海 13 176 楼好文，经典好文。 2008-9-13 14:39 0
当阳桥雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 63 粉丝 0 关注私信	当阳桥 177 楼经典之作，受益非浅。谢谢了 2008-9-22 11:57 0
tjxiaowu 雪币： 403 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	tjxiaowu 178 楼正好用上，多谢分享 2008-10-13 11:35 0
说爱我雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 82 粉丝 0 关注私信	说爱我 179 楼要顶起来啊。自校验弄的我头疼了好几天啊。 2008-10-26 21:41 0
说爱我雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 82 粉丝 0 关注私信	说爱我 180 楼这么好的方法一定要顶起来啊。我被自校验弄的头疼了好几天啊。 2008-10-26 21:43 0
wenchao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 0 关注私信	wenchao 181 楼怎么判断是文件大小自校验还是时间自校验，还是修改自校验啊。楼主你真的很强。 2008-11-2 16:06 0
huawuduo 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	huawuduo 182 楼学习，顶下。。。。。 2009-1-2 01:43 0
水瓜雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	水瓜 183 楼非常感谢。。。。 2009-2-14 11:14 0
lztt 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	lztt 184 楼请教这个怎么跟出关键call 新手学习中望指点： 0012FF90 0040481F /CALL 到 ExitProcess 来自 ww_u.0040481A 004047D8 \|. 8B42 10 \|mov eax, dword ptr [edx+10] 004047DB \|. 3B42 04 \|cmp eax, dword ptr [edx+4] 004047DE \|. 74 0A \|je short 004047EA 004047E0 \|. 85C0 \|test eax, eax 004047E2 \|. 74 06 \|je short 004047EA 004047E4 \|. 50 \|push eax ; /hLibModule 004047E5 \|. E8 B6CBFFFF \|call <jmp.&kernel32.FreeLibrary> ; \FreeLibrary 004047EA \|> E8 A5FCFFFF \|call 00404494 004047EF \|. 807B 28 01 \|cmp byte ptr [ebx+28], 1 004047F3 \|. 75 03 \|jnz short 004047F8 004047F5 \|. FF53 24 \|call dword ptr [ebx+24] 004047F8 \|> 807B 28 00 \|cmp byte ptr [ebx+28], 0 004047FC \|. 74 05 \|je short 00404803 004047FE \|. E8 A1FEFFFF \|call 004046A4 00404803 \|> 833B 00 \|cmp dword ptr [ebx], 0 00404806 \|. 75 17 \|jnz short 0040481F 00404808 \|. 833D 28705100>\|cmp dword ptr [517028], 0 0040480F \|. 74 06 \|je short 00404817 00404811 \|. FF15 28705100 \|call dword ptr [517028] 00404817 \|> 8B06 \|mov eax, dword ptr [esi] 00404819 \|. 50 \|push eax ; /ExitCode 0040481A \|. E8 61CBFFFF \|call <jmp.&kernel32.ExitProcess> ; \ExitProcess 0040481F \|> 8B03 \|mov eax, dword ptr [ebx] 00404821 \|. 56 \|push esi 00404822 \|. 8BF0 \|mov esi, eax 00404824 \|. 8BFB \|mov edi, ebx 00404826 \|. B9 0B000000 \|mov ecx, 0B 0040482B \|. F3:A5 \|rep movs dword ptr es:[edi], dword > 0040482D \|. 5E \|pop esi 0040482E \.^ E9 76FFFFFF \jmp 004047A9 00404833 . 5D pop ebp 00404834 . 5F pop edi 00404835 . 5E pop esi 00404836 . 5B pop ebx 00404837 . C3 retn 2009-2-27 13:09 0
zzdanger 雪币： 200 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	zzdanger 185 楼正好有用处，收藏了. 2009-3-16 14:23 0
wufusen 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	wufusen 186 楼 [QUOTE=;]...[/QUOTE] 谢谢了太好了刚想找人帮我 2009-3-16 20:54 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 187 楼收藏了 2009-3-17 23:06 0
mzdlinux 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	mzdlinux 188 楼 bpx CreateFileA 程序启动 2009-4-25 06:16 0
大头和尚雪币： 421 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 483 粉丝 1 关注私信	大头和尚 189 楼自校验普及贴。很不错但是关于VB或者E语言写的程序没有单独提及。现在碰到一个VB的。双击直接退出有校验，但是OD载入的话有时可以运行起来。由于不适用ExitProcess函数以及只有脱壳的程序无源程序，搞起来比较费力但是提及的四种方法很有代表性 2009-4-30 15:03 0
xlyvip 雪币： 240 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	xlyvip 190 楼呵呵，讲得真好 2009-5-22 21:07 0
following 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	following 191 楼感谢大侠的分享 2009-5-22 23:41 0
佑珥釘雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	佑珥釘 192 楼多谢提供~学习~ 2009-5-23 09:02 0
水无月雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	水无月 193 楼我发现我看不懂，唉学习 2009-6-4 13:23 0
sfqpublic 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	sfqpublic 194 楼太棒了，收藏了。 2009-6-8 16:46 0
独眼海盗雪币： 33 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	独眼海盗 195 楼很复杂啊 2009-6-14 14:15 0
qiqiansi 雪币： 103 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 21 粉丝 0 关注私信	qiqiansi 196 楼做个记号随时查看 2009-8-12 03:12 0
夹生饭饭雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	夹生饭饭 197 楼收藏了，谢谢！！！ 2009-8-12 11:50 0
cracklu 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	cracklu 198 楼非常好，很有感悟 2009-8-18 13:38 0
llight 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	llight 199 楼多谢了，又有收获了 2009-9-23 17:04 0
cwmm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	cwmm 200 楼 very good 2009-10-11 22:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

laomms

发帖

384

回帖

1370

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (244) ◀ 1 2 3 4 5 6 7 8 9 10 ▶
爱琴海雪币： 1355 活跃值： (339) 能力值： ( LV13，RANK：920 ) 在线值：发帖 74 回帖 660 粉丝 7 关注私信	爱琴海 13 176 楼好文，经典好文。 2008-9-13 14:39 0
当阳桥雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 63 粉丝 0 关注私信	当阳桥 177 楼经典之作，受益非浅。谢谢了 2008-9-22 11:57 0
tjxiaowu 雪币： 403 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	tjxiaowu 178 楼正好用上，多谢分享 2008-10-13 11:35 0
说爱我雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 82 粉丝 0 关注私信	说爱我 179 楼要顶起来啊。自校验弄的我头疼了好几天啊。 2008-10-26 21:41 0
说爱我雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 82 粉丝 0 关注私信	说爱我 180 楼这么好的方法一定要顶起来啊。我被自校验弄的头疼了好几天啊。 2008-10-26 21:43 0
wenchao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 0 关注私信	wenchao 181 楼怎么判断是文件大小自校验还是时间自校验，还是修改自校验啊。楼主你真的很强。 2008-11-2 16:06 0
huawuduo 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	huawuduo 182 楼学习，顶下。。。。。 2009-1-2 01:43 0
水瓜雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	水瓜 183 楼非常感谢。。。。 2009-2-14 11:14 0
lztt 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	lztt 184 楼请教这个怎么跟出关键call 新手学习中望指点： 0012FF90 0040481F /CALL 到 ExitProcess 来自 ww_u.0040481A 004047D8 \|. 8B42 10 \|mov eax, dword ptr [edx+10] 004047DB \|. 3B42 04 \|cmp eax, dword ptr [edx+4] 004047DE \|. 74 0A \|je short 004047EA 004047E0 \|. 85C0 \|test eax, eax 004047E2 \|. 74 06 \|je short 004047EA 004047E4 \|. 50 \|push eax ; /hLibModule 004047E5 \|. E8 B6CBFFFF \|call <jmp.&kernel32.FreeLibrary> ; \FreeLibrary 004047EA \|> E8 A5FCFFFF \|call 00404494 004047EF \|. 807B 28 01 \|cmp byte ptr [ebx+28], 1 004047F3 \|. 75 03 \|jnz short 004047F8 004047F5 \|. FF53 24 \|call dword ptr [ebx+24] 004047F8 \|> 807B 28 00 \|cmp byte ptr [ebx+28], 0 004047FC \|. 74 05 \|je short 00404803 004047FE \|. E8 A1FEFFFF \|call 004046A4 00404803 \|> 833B 00 \|cmp dword ptr [ebx], 0 00404806 \|. 75 17 \|jnz short 0040481F 00404808 \|. 833D 28705100>\|cmp dword ptr [517028], 0 0040480F \|. 74 06 \|je short 00404817 00404811 \|. FF15 28705100 \|call dword ptr [517028] 00404817 \|> 8B06 \|mov eax, dword ptr [esi] 00404819 \|. 50 \|push eax ; /ExitCode 0040481A \|. E8 61CBFFFF \|call <jmp.&kernel32.ExitProcess> ; \ExitProcess 0040481F \|> 8B03 \|mov eax, dword ptr [ebx] 00404821 \|. 56 \|push esi 00404822 \|. 8BF0 \|mov esi, eax 00404824 \|. 8BFB \|mov edi, ebx 00404826 \|. B9 0B000000 \|mov ecx, 0B 0040482B \|. F3:A5 \|rep movs dword ptr es:[edi], dword > 0040482D \|. 5E \|pop esi 0040482E \.^ E9 76FFFFFF \jmp 004047A9 00404833 . 5D pop ebp 00404834 . 5F pop edi 00404835 . 5E pop esi 00404836 . 5B pop ebx 00404837 . C3 retn 2009-2-27 13:09 0
zzdanger 雪币： 200 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	zzdanger 185 楼正好有用处，收藏了. 2009-3-16 14:23 0
wufusen 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	wufusen 186 楼 [QUOTE=;]...[/QUOTE] 谢谢了太好了刚想找人帮我 2009-3-16 20:54 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 187 楼收藏了 2009-3-17 23:06 0
mzdlinux 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	mzdlinux 188 楼 bpx CreateFileA 程序启动 2009-4-25 06:16 0
大头和尚雪币： 421 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 483 粉丝 1 关注私信	大头和尚 189 楼自校验普及贴。很不错但是关于VB或者E语言写的程序没有单独提及。现在碰到一个VB的。双击直接退出有校验，但是OD载入的话有时可以运行起来。由于不适用ExitProcess函数以及只有脱壳的程序无源程序，搞起来比较费力但是提及的四种方法很有代表性 2009-4-30 15:03 0
xlyvip 雪币： 240 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	xlyvip 190 楼呵呵，讲得真好 2009-5-22 21:07 0
following 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	following 191 楼感谢大侠的分享 2009-5-22 23:41 0
佑珥釘雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	佑珥釘 192 楼多谢提供~学习~ 2009-5-23 09:02 0
水无月雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	水无月 193 楼我发现我看不懂，唉学习 2009-6-4 13:23 0
sfqpublic 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	sfqpublic 194 楼太棒了，收藏了。 2009-6-8 16:46 0
独眼海盗雪币： 33 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	独眼海盗 195 楼很复杂啊 2009-6-14 14:15 0
qiqiansi 雪币： 103 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 21 粉丝 0 关注私信	qiqiansi 196 楼做个记号随时查看 2009-8-12 03:12 0
夹生饭饭雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	夹生饭饭 197 楼收藏了，谢谢！！！ 2009-8-12 11:50 0
cracklu 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	cracklu 198 楼非常好，很有感悟 2009-8-18 13:38 0
llight 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	llight 199 楼多谢了，又有收获了 2009-9-23 17:04 0
cwmm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	cwmm 200 楼 very good 2009-10-11 22:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复