原版程序加的壳:Themida/WinLicense V1.8.X-V1.9.X Other -> Oreans Technologies;
脱壳后查出来是VC++编写的程序,脱壳后的程序可以运行,但是在运行3-4秒后会自动退出,显然是自校验的问题;
OD载入脱壳后的程序,F9运行,程序启动3-4秒后退出,OD停在这里:
008B3838 FF31 PUSH DWORD PTR DS:[ECX]
008B383A FF3424 PUSH DWORD PTR SS:[ESP]
008B383D 59 POP ECX
008B383E 50 PUSH EAX
008B383F 89E0 MOV EAX,ESP
008B3841 05 04000000 ADD EAX,4
008B3846 83C0 04 ADD EAX,4
008B3849 870424 XCHG DWORD PTR SS:[ESP],EAX
008B384C ^ E9 7D3AFAFF JMP SYV.008572CE
008B3851 01D8 ADD EAX,EBX
008B3853 8A10 MOV DL,BYTE PTR DS:[EAX]
008B3855 58 POP EAX
008B3856 E9 8B5F0500 JMP SYV.009097E6
008B385B BA 00000000 MOV EDX,0
008B3860 01F2 ADD EDX,ESI
008B3862 8A1A MOV BL,BYTE PTR DS:[EDX]
008B3864 FF3424 PUSH DWORD PTR SS:[ESP]
看了几篇自校验相关的文章,下了如下几个断点:
bp GetFileSize
bp CreateFileA
bP FindFirstFileA
bp PostQuitMessage
bpx ExitProcess
BP ExitProcess
均无法断下;
昨天一天也没搞定,特来求助各位高手大侠帮帮忙了(含原版和脱壳后的文件):
http://j.thec.cn/vipsoft/sy2.2.rar
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课