首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
求助高手们一个双进程的技术问题?(解决)
发表于: 2007-1-24 22:01 11678

求助高手们一个双进程的技术问题?(解决)

雪域魂 活跃值
2007-1-24 22:01
11678
我手头有一个安装程序,是二级VB的模拟考试软件
他运行后会在临时文件夹生成一个irsetup.exe的文件
而且是找不到setup.inx这个安装脚本,在OD里面又找不到参考用API也断不下
请教一下方法
这个程序是不能用RAR打开的

另说明下这个软件就是2006年的新版计算机等级考试的书里送的.
不过我是买的一级书,我现在要破的是他里面带的二级软件包

这个我参考了论坛里的几篇文章,但我用OD一附加子进程就停止响应了
不知他说的fllyodbg是不是和我们论坛大礼包里的那个一样呀

我现在是把irsetup.exe的壳脱了后不知怎么办了

请高手指点下嘛


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (35)
雪域魂
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
没有人帮我下吗?
给我指点下方法嘛
真的没办法了
2007-1-26 16:28
0
rufus
雪    币: 259
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
3
是一个叫Factory的打包工具制作的。
2007-1-26 16:30
0
rufus
雪    币: 259
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
4
是一个叫Factory的打包工具制作的。
2007-1-26 16:36
0
雪域魂
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
谢谢,正在找,能说下怎么用的吗
2007-1-26 18:12
0
雪域魂
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
我看了论坛好多的回贴,但都没说怎么解呀
2007-1-26 18:35
0
雪域魂
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
Setup Factory 我下载的了.但他打不开安装包的呀
能说仔细点不
2007-1-26 18:43
0
雪域魂
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
请哪位高手说个详细点的方法嘛,我都试验了一周多了
用OD载入那个IRSETUP.EXE会出错的.
我是个刚入门的菜鸟
请大家帮下

谢了,先
2007-1-26 18:53
0
rufus
雪    币: 259
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
9
irsetup.exe 需要用参数来引导

0013E810   0013FC08  |ModuleFileName = "C:\DOCUME~1\Rufus\LOCALS~1\Temp\_ir_sf7_temp_0\irsetup.exe"
0013E814   0013F1FC  |CommandLine = "__IRAOFF:520716 "__IRAFN:E:\Crack\考试系统\setup\setup.exe""
0013E818   00000000  |pProcessSecurity = NULL
0013E81C   00000000  |pThreadSecurity = NULL
0013E820   00000000  |InheritHandles = FALSE
0013E824   00000020  |CreationFlags = NORMAL_PRIORITY_CLASS
0013E828   00000000  |pEnvironment = NULL
0013E82C   0013FD0C  |CurrentDir = "C:\DOCUME~1\Rufus\LOCALS~1\Temp\_ir_sf7_temp_0\"
0013E830   0013E968  |pStartupInfo = 0013E968
0013E834   0013E9C8  \pProcessInfo = 0013E9C8

就是CommandLine那一行,这个软件的安装序列号是在明文,可以直接在内存中找到。
2007-1-27 07:39
0
雪域魂
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
我现在找到了那个irsetup.exe的了
但载入后不能下断的呀
我看了论坛里有个查万能断点的小软件.
查出来是77D2CA9E
就是ponith这个软件查的
这个怎么用嘛
是不是按alt+f1然后直接输入这个代码
我输入了呀,但回车就这种了
004c300f   call  062c3a4d
004cd8b6   call  220be149
004cf1dc   call  40844516
004ee191   call  ntdll.7c97f695
00522cb0   call  6518cd27
全部设断后只一运行就终止在这了
0051E2A0   >  8B02          mov     eax, dword ptr [edx]
也进不去呀怎么办嘛
再请教一下
谢谢楼上的
谢谢所有帮我的朋友们
2007-1-27 19:40
0
雪域魂
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
再帮我下嘛
谢谢各位了
2007-1-28 18:36
0
baby2008
雪    币: 442
活跃值: (1216)
能力值: ( LV12,RANK:1130 )
在线值:
发帖
回帖
粉丝
私信
12
广告时间

http://bbs.pediy.com/showthread.php?threadid=16689&highlight=irsetup
2007-1-28 19:09
0
雪域魂
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
fllyODBG有什么特别的吗
用看雪的大礼包里送的OD是一样的吗?
我一附加进程他就停止响应了呀
这个怎么办的嘛
楼上的教程我也看了呀
但停止响应没办法运行
2007-1-29 19:58
0
雪域魂
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
不要沉了呀,
沉了就没有人帮我了
2007-1-31 19:39
0
playx
雪    币: 146
活跃值: (72)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
15
12楼正解.不过偶用附加的方法没成功.
2007-1-31 21:49
0
雪域魂
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
那怎么办呀
高手们指点下噻
2007-2-1 11:36
0
rufus
雪    币: 259
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
17
你用OD 打开要调试的程序,在打开之前 必须在打开文件的对话框下面参数中填上:

__IRAOFF:520716 "__IRAFN:I:\setup.exe"

把I:改成你自己的路径
2007-2-1 15:15
0
雪域魂
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
18
谢谢
但我加了参数后一运行还是会停止响应的呀
这个参数是填主进程的名字吧
我两个名字都试了都不行的
还有什么办法的嘛
2007-2-1 20:06
0
rufus
雪    币: 259
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
19
0013E810   0013FC08  |ModuleFileName = "C:\DOCUME~1\Rufus\LOCALS~1\Temp\_ir_sf7_temp_0\irsetup.exe"
0013E814   0013F1FC  |CommandLine = "__IRAOFF:520716 "__IRAFN:E:\Crack\考试系统\setup\setup.exe""
0013E818   00000000  |pProcessSecurity = NULL
0013E81C   00000000  |pThreadSecurity = NULL
0013E820   00000000  |InheritHandles = FALSE
0013E824   00000020  |CreationFlags = NORMAL_PRIORITY_CLASS
0013E828   00000000  |pEnvironment = NULL
0013E82C   0013FD0C  |CurrentDir = "C:\DOCUME~1\Rufus\LOCALS~1\Temp\_ir_sf7_temp_0\"
0013E830   0013E968  |pStartupInfo = 0013E968
0013E834   0013E9C8  \pProcessInfo = 0013E9C8

原程序在释放了临时程序以后会创建新的进程,参数你自己跟一下吧。不同的版本可能不一样。
2007-2-1 20:30
0
雪域魂
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
20
我加参数了运行会停止响应

没办法跟的

我的QQ是121642002----耍
如果有人愿帮我一下我不胜感激

我每天晚上都会在线的
白天要上班

先谢谢了
2007-2-2 20:43
0
rufus
雪    币: 259
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
21
参数是用于调试irsetup.exe的,你没看到么?

0013E810   0013FC08  |ModuleFileName = "C:\DOCUME~1\Rufus\LOCALS~1\Temp\_ir_sf7_temp_0\irsetup.exe"
0013E814   0013F1FC  |CommandLine = "__IRAOFF:520716 "__IRAFN:E:\Crack\考试系统\setup\setup.exe""
0013E818   00000000  |pProcessSecurity = NULL
0013E81C   00000000  |pThreadSecurity = NULL
0013E820   00000000  |InheritHandles = FALSE
0013E824   00000020  |CreationFlags = NORMAL_PRIORITY_CLASS
0013E828   00000000  |pEnvironment = NULL
0013E82C   0013FD0C  |CurrentDir = "C:\DOCUME~1\Rufus\LOCALS~1\Temp\_ir_sf7_temp_0\"
0013E830   0013E968  |pStartupInfo = 0013E968
0013E834   0013E9C8  \pProcessInfo = 0013E9C8

这就是主进程创建新进程的时候的参数表。一下子跟你说不清楚。没有一点基础是不太好调试这种多进程程序的。
2007-2-2 23:40
0
雪域魂
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
22
我在你帮助下都走到一半的地方了

我现在是参数找到了

壳也脱了

下一步怎么办呢
2007-2-3 20:09
0
雪域魂
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
23
现在那个子进程irsetup.exe我是复制出脱的壳

用的是upx.exe的upx -d命令脱的.

这个在临时文件夹里用不了

我脱了又不能放回去替换程序创建的那个irsetup.exe

直接在临时文件夹里脱了也是用不了

现在我该怎么办呢

请指点下
2007-2-4 19:48
0
雪域魂
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
24
帮下我呀.

我都搞这么久了

不要让我半途而废嘛

哪位帮下我呀

谢谢哈
2007-2-5 14:53
0
雪域魂
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
25
怎么没人帮我了呀.

下一步怎么办呀

给我指点下嘛

各位高手指点下嘛
2007-2-6 13:56
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//