首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]遇到ANTI-DEDE
发表于: 2007-2-8 21:03 5471

[求助]遇到ANTI-DEDE

feiproxy 活跃值
2007-2-8 21:03
5471
经过摸索
终于将手里的程序(exe和dll加的Asprotect壳)全部脱掉
因为程序是用DELPHI编写
想用反编译工具\DeDeDark 将它转变出代码
遇到的情况是:
一:启动DeDeDark   打开需要处理的文件.exe正常
点开始处理,DeDeDark自动关闭
二:先打开需要处理的文件.exe 然后再启动DeDeDark
DeDeDark也会自动关闭
我想应该是这程序反dede吧
请问各位有没有好点的处理方法

DarkDe4.exe是DEDE 3.50.4的修改版(超强版:P) by DarkNess0ut
01.修改了Title和ClassName "DeDe"->"DarK",绝大部分的Anti检测都没有用了

用的就是这个版本

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (4)
cnbragon
雪    币: 3686
活跃值: (1036)
能力值: (RANK:760 )
在线值:
发帖
回帖
粉丝
私信
2
你先用OD打开试一下,看看有没有anti-dede
2007-2-8 22:03
0
feiproxy
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
OD打开程序是正常的

请问该怎么看有没有anti-dede呀
2007-2-9 01:32
0
feiproxy
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
004B724F  |.  BA 54744B00   mov     edx, 004B7454                    ;  ASCII "AUTOUP.exe"
004B7254  |.  E8 D3D6F4FF   call    0040492C
004B7259  |.  8B45 9C       mov     eax, [local.25]
004B725C  |.  E8 4F1FF5FF   call    004091B0
004B7261  |>  68 60744B00   push    004B7460                         ; /Arg3 = 004B7460 ASCII "TZtT"
004B7266  |.  6A FF         push    -1                               ; |Arg2 = FFFFFFFF
004B7268  |.  6A 00         push    0                                ; |Arg1 = 00000000
004B726A  |.  E8 35F8F4FF   call    00406AA4                         ; \RunGame.00406AA4
004B726F  |.  E8 40F9F4FF   call    <jmp.&kernel32.GetLastError>     ; [GetLastError
004B7274  |.  3D B7000000   cmp     eax, 0B7
004B7279  |.  75 18         jnz     short 004B7293
004B727B  |.  6A 10         push    10                               ; /Style = MB_OK|MB_ICONHAND|MB_APPLMODAL
004B727D  |.  68 68744B00   push    004B7468                         ; |Title = ""B4,"砦?
004B7282  |.  68 70744B00   push    004B7470                         ; |Text = ""A1,"",B0,"挑?,BD,"天堂",A1,"币丫",AD,"运行,?,B4,"退出?,B0,"请",B2,"",BB,"要重",B8,"",B4,"运行!"
004B7287  |.  6A 00         push    0                                ; |hOwner = NULL
004B7289  |.  E8 8E01F5FF   call    <jmp.&user32.MessageBoxA>        ; \MessageBoxA
004B728E  |.  E8 3DD2F4FF   call    004044D0
004B7293  |>  B8 8CAF4B00   mov     eax, 004BAF8C
004B7298  |.  BA A8744B00   mov     edx, 004B74A8                    ;  ASCII "DE"
004B729D  |.  E8 16D4F4FF   call    004046B8
004B72A2  |.  B8 8CAF4B00   mov     eax, 004BAF8C
004B72A7  |.  8B15 8CAF4B00 mov     edx, dword ptr [4BAF8C]
004B72AD  |.  E8 7AD6F4FF   call    0040492C
004B72B2  |.  E8 A5F8F4FF   call    <jmp.&kernel32.GetCommandLineA>  ; [GetCommandLineA
004B72B7  |.  8BD0          mov     edx, eax
004B72B9  |.  8D45 90       lea     eax, [local.28]
004B72BC  |.  E8 9BD5F4FF   call    0040485C
004B72C1  |.  8B45 90       mov     eax, [local.28]
004B72C4  |.  8D55 94       lea     edx, [local.27]
004B72C7  |.  E8 2816F5FF   call    004088F4
004B72CC  |.  8B55 94       mov     edx, [local.27]
004B72CF  |.  A1 8CAF4B00   mov     eax, dword ptr [4BAF8C]
004B72D4  |.  E8 8FD9F4FF   call    00404C68
004B72D9  |.  85C0          test    eax, eax
004B72DB  |.  7E 0D         jle     short 004B72EA
004B72DD  |.  6A 00         push    0                                ; /ExitCode = 0
004B72DF  |.  E8 88F8F4FF   call    <jmp.&kernel32.GetCurrentProcess>; |[GetCurrentProcess
004B72E4  |.  50            push    eax                              ; |hProcess = NULL
004B72E5  |.  E8 3AFAF4FF   call    <jmp.&kernel32.TerminateProcess> ; \TerminateProcess

OD打开程序 发现了
004B74A8                    ;  ASCII "DE"
这里可疑  不过不知道是不是的
期待 cnbragon  给予解答
2007-2-9 21:40
0
仙剑太郎
雪    币: 214
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
5
有可能的,跟进去看看
2007-2-13 01:25
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//