首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
很容易找到程序的跳转点,但软件的算法分析有些难度!
发表于: 2006-7-29 23:07 4909

很容易找到程序的跳转点,但软件的算法分析有些难度!

yangco 活跃值
2006-7-29 23:07
4909
VC++写的程序,程序很小 在 http://www.erayt.com/setbsn.rar 可以下载26K

00401C59   .  E8 520D0000   CALL setbsn.004029B0
00401C5E   .  6A 0C         PUSH 0C
00401C60   .  68 B8C54000   PUSH setbsn.0040C5B8
00401C65   .  68 ECC64000   PUSH setbsn.0040C6EC                     ;  ASCII "1243475219"
00401C6A   .  E8 410D0000   CALL setbsn.004029B0
00401C6F   .  6A 0E         PUSH 0E
00401C71   .  68 B0C54000   PUSH setbsn.0040C5B0
00401C76   .  E8 C50D0000   CALL setbsn.00402A40
00401C7B   .  6A 0E         PUSH 0E
00401C7D   .  68 B0C54000   PUSH setbsn.0040C5B0
00401C82   .  68 FA000000   PUSH 0FA
00401C87   .  E8 340A0000   CALL setbsn.004026C0
00401C8C   .  83C4 48       ADD ESP,48
00401C8F   .  66:3B4424 0E  CMP AX,WORD PTR SS:[ESP+E]
00401C94   .  66:A3 BEC5400>MOV WORD PTR DS:[40C5BE],AX
00401C9A   .^ 0F84 68FEFFFF JE setbsn.00401B08  <---这里是函数的跳转点
,前面的应该是他的算法函数,但分析起来有点难,请各位高手指点

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (6)
kanxue
雪    币: 44229
活跃值: (19960)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
2
建议用IDA反一下,许多C函数显示函数名,再分析就容易了。
2006-7-30 10:39
0
foxabu
雪    币: 325
活跃值: (97)
能力值: ( LV13,RANK:530 )
在线值:
发帖
回帖
粉丝
私信
3
用OBJ扫描器。。。不需要IDA的 不过看个人嗜好
2006-7-30 11:48
0
foxabu
雪    币: 325
活跃值: (97)
能力值: ( LV13,RANK:530 )
在线值:
发帖
回帖
粉丝
私信
4
缺少文件
0040165A    .  68 B8B24000        push setbsn.0040B2B8                             ;  ASCII "wintrv.exe"

打不开的
2006-7-30 11:50
0
请哥慢捂
雪    币: 151
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
5
把CreateFileA那里直接跳转就可以继续下去了
2006-7-30 12:34
0
NWMonster
雪    币: 134
活跃值: (84)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
6
建议用IDA 5.0可以更清晰的分析到算法,但要先脱壳.
2006-7-30 13:52
0
yangco
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
因为如果注册成功后,系统会调用“wintrv.exe”程序,随便命名一个wintrv.exe的文件即可。

IDA载入时,为什么只是部分程序??
2006-7-31 00:37
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//