能力值:
( LV2,RANK:10 )
|
-
-
2 楼
你放的那是什么东西 22个文件中 19个 EXE程序
<?xml version='1.0' encoding='UTF-8' standalone='yes'?>
<assembly xmlns='urn:schemas-microsoft-com:asm.v1' manifestVersion='1.0'>
<dependency>
<dependentAssembly>
<assemblyIdentity type='win32' name='Microsoft.VC80.CRT' version='8.0.50608.0' processorArchitecture='x86' publicKeyToken='1fc8b3b9a1e18e3b' />
</dependentAssembly>
</dependency>
<dependency>
<dependentAssembly>
<assemblyIdentity type='win32' name='Microsoft.VC80.MFC' version='8.0.50608.0' processorArchitecture='x86' publicKeyToken='1fc8b3b9a1e18e3b' />
</dependentAssembly>
</dependency>
</assembly>
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
风云星炫,我放的文件是flxlm管理文件,那里面的确有好多exe文件,这些是flexlm管理软件需要用的,有些必须,有些只是附属,我是怕感兴趣的达人下载后缺少某些文件而调试不了,所以才全部放上去的。而我要研究的只是flexlm的守护神,就是那个 slbsls.exe文件,它就在那个压缩包里面。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
Petro2007的DAEMON,文件有8M多,Unasm之后能够找到l_sg().
看起来没有什么异样。
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
delmia 真是高人,能否点拨一下小菜我啊?我现在脱它都脱不下来啊。 在带壳情况下反汇编,OD中查不到l_SG()函数的标志数字,不知道delmia是如何定位它的呢?或许是莫非flexlm11.X版本与flexlm8X的 seedval (seedval = 0x6F7330B8) 标志数字不一样了么?
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
没人顶么? 我自己顶一下,咳。。。不是我不努力,小菜在通向成功的道路上有很多在高手的眼里看上去并不是问题的困难啊。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
查询版本为FLEXnet Licensing v11.3.0.0 build 28877 (lmgr.lib)
使用 11.4的 sign 文件,也没有识别出 l_sg() ,不知道高手们怎么操作的,想不通啊
.textidx:00676070 ; =============== S U B R O U T I N E =======================================
.textidx:00676070
.textidx:00676070 ; Attributes: library function bp-based frame
.textidx:00676070
.textidx:00676070 _l_pubkey_verify proc near ; DATA XREF: sub_40E4E7+19D3o
.textidx:00676070 ; sub_40E4E7+8BD5o ...
.textidx:00676070
.textidx:00676070 var_F0 = dword ptr -0F0h
.textidx:00676070 var_EC = dword ptr -0ECh
.textidx:00676070 var_E8 = dword ptr -0E8h
.textidx:00676070 var_E4 = dword ptr -0E4h
.textidx:00676070 var_E0 = dword ptr -0E0h
.textidx:00676070 var_DC = dword ptr -0DCh
.textidx:00676070 var_D8 = dword ptr -0D8h
.textidx:00676070 var_D4 = dword ptr -0D4h
.textidx:00676070 var_D0 = byte ptr -0D0h
.textidx:00676070 var_68 = dword ptr -68h
.textidx:00676070 var_64 = dword ptr -64h
.textidx:00676070 var_60 = dword ptr -60h
.textidx:00676070 var_5C = dword ptr -5Ch
.textidx:00676070 var_58 = dword ptr -58h
.textidx:00676070 var_54 = dword ptr -54h
.textidx:00676070 var_50 = dword ptr -50h
.textidx:00676070 var_4C = dword ptr -4Ch
.textidx:00676070 var_48 = dword ptr -48h
.textidx:00676070 var_44 = dword ptr -44h
.textidx:00676070 var_40 = byte ptr -40h
.textidx:00676070 arg_0 = dword ptr 8
.textidx:00676070 arg_4 = dword ptr 0Ch
.textidx:00676070 arg_8 = dword ptr 10h
.textidx:00676070 arg_C = dword ptr 14h
.textidx:00676070 arg_10 = dword ptr 18h
.textidx:00676070 arg_14 = dword ptr 1Ch
.textidx:00676070 arg_18 = dword ptr 20h
.textidx:00676070 arg_1C = dword ptr 24h
.textidx:00676070 arg_20 = dword ptr 28h
.textidx:00676070
.textidx:00676070 push ebp
.textidx:00676071 mov ebp, esp
.textidx:00676073 sub esp, 0F0h
.textidx:00676079 mov [ebp+var_50], 0
.textidx:00676080 mov eax, [ebp+arg_0]
.textidx:00676083 mov ecx, [eax+19Ch]
.textidx:00676089 mov edx, [ecx+1CDCh]
.textidx:0067608F cmp dword ptr [edx+560h], 0
.textidx:00676096 jz short loc_6760B5
.textidx:00676098 mov eax, [ebp+arg_0]
.textidx:0067609B mov ecx, [eax+19Ch]
.textidx:006760A1 mov edx, [ecx+1CDCh]
.textidx:006760A7 mov eax, [edx+560h]
.textidx:006760AD mov [ebp+var_DC], eax
.textidx:006760B3 jmp short loc_6760BE
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
问题悬而未决,忽然想到这个守护神有可能是虚拟机加密的,只是对此知之甚少,还望高手不胜赐教!
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
关注中,请以后多指教!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
这个daemon值得去研究、学习。。。除了FLEXlm,有很多其它的加密手段。。
|
能力值:
( LV3,RANK:20 )
|
-
-
11 楼
这个DAEMON确实是值得大家研究的好东东
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
petrel软件是不是用OD调试不好用?
|
|
|