首页
社区
课程
招聘
CrackMe一个,小难
发表于: 2004-11-12 01:34 13095

CrackMe一个,小难

2004-11-12 01:34
13095
收藏
免费 1
支持
分享
最新回复 (27)
雪    币: 16
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
2
你想作什么?叫人脱壳还是破解?
2004-11-12 11:03
0
雪    币: 16
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
3
004015B0    68 80174000     push    CrackMe.00401780
004015B5    E8 F0FFFFFF     call    CrackMe.004015AA                     ; jmp to MSVBVM60.ThunRTMain

入口点.
2004-11-12 11:05
0
雪    币: 5961
活跃值: (2772)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
这只是第一步,还有自校验、反调试。
2004-11-12 16:07
0
雪    币: 211
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
最初由 great1234 发布
你想作什么?叫人脱壳还是破解?

很象UPX
2004-11-13 15:49
0
雪    币: 5961
活跃值: (2772)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
就是upx壳 改动过的
2004-11-13 16:55
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
7
壳简单
去除校验也不难

不过我想请问一下作者这个是啥意思  

2004-11-13 17:30
0
雪    币: 319
活跃值: (1136)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
8
呵呵,标题而已~~~没什么
2004-11-13 19:22
0
雪    币: 50149
活跃值: (20530)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
9
最初由 aqtata 发布
呵呵,标题而已~~~没什么


这个标题:“SB,你在看什么”,容易让人产生误解而不快。
2004-11-13 19:31
0
雪    币: 319
活跃值: (1136)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
10
下次改正!:p
2004-11-13 19:34
0
雪    币: 519
活跃值: (1223)
能力值: ( LV12,RANK:650 )
在线值:
发帖
回帖
粉丝
11
这个SB是故意写上的么,我怎么觉得在好多EXE里都见过这个:D
2004-11-14 15:22
0
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
12
我记得以前有软件在里面写过想认识解密高手之类的话。
2004-11-14 17:45
0
雪    币: 319
活跃值: (2459)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
13
自校验:
00404D5F    33C9            XOR ECX,ECX
00404D61    3D 69420000     CMP EAX,4269===>比较文件大小。
00404D66    8D45 D4         LEA EAX,DWORD PTR SS:[EBP-2C]
00404D69    50              PUSH EAX
00404D6A    8D45 D8         LEA EAX,DWORD PTR SS:[EBP-28]
00404D6D    50              PUSH EAX
00404D6E    8D45 E0         LEA EAX,DWORD PTR SS:[EBP-20]
00404D71    50              PUSH EAX
00404D72    8D45 DC         LEA EAX,DWORD PTR SS:[EBP-24]
00404D75    50              PUSH EAX
00404D76    8D45 E4         LEA EAX,DWORD PTR SS:[EBP-1C]
00404D79    0F9FC1          SETG CL====>设置标志。NOP掉就可以取消自校验。
00404D7C    F7D9            NEG ECX
00404D7E    50              PUSH EAX
00404D7F    6A 05           PUSH 5
00404D81    8BF9            MOV EDI,ECX

但反调试不知从何入手。请指教。
2004-11-14 19:29
0
雪    币: 201
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
:D :D
靠,这么多高手啊。
2004-11-15 03:27
0
雪    币: 16
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
15
楼上的楼上你是怎么知道这个校验的?
2004-11-15 04:19
0
雪    币: 209
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
最初由 csjwaman 发布
自校验:
00404D5F 33C9 XOR ECX,ECX
00404D61 3D 69420000 CMP EAX,4269===>比较文件大小。
00404D66 8D45 D4 LEA EAX,DWORD PTR SS:[EBP-2C]
00404D69 50 PUSH EAX
........

00404D61    3D 69420000     CMP EAX,4269===>比较文件大小。
将这改为
00404D61    3D 69420000     CMP EAX,0FFFFFFF===>比较文件大小。
就可以逃过校验了.其中还有对进程名为OLLYD,和UNKILLOD开始,检测如果有就关闭调试器.最好办法就是将OD的类名和名称都改了,一劳永逸.
2004-11-15 08:57
0
雪    币: 139
活跃值: (41)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
seh 太长
怎么办啊?
2004-11-15 10:55
0
雪    币: 209
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
在调试中忽略所有异常,并添加最近的异常即可.
2004-11-15 12:30
0
雪    币: 319
活跃值: (2459)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
19
最初由 tane 发布

00404D61 3D 69420000 CMP EAX,4269===>比较文件大小。
将这改为
00404D61 3D 69420000 CMP EAX,0FFFFFFF===>比较文件大小。
就可以逃过校验了.其中还有对进程名为OLLYD,和UNKILLOD开始,检测如果有就关闭调试器.最好办法就是将OD的类名和名称都改了,一劳永逸.


怎么找到反调试代码的?用修改版的OD也不行。
2004-11-15 13:36
0
雪    币: 5961
活跃值: (2772)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
00406EF9    /74 65               je short dumped_.00406F60
  //jmp  去处kill ollydbg
2004-11-15 14:00
0
雪    币: 319
活跃值: (2459)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
21
最初由 lucktiger 发布
00406EF9 /74 65 je short dumped_.00406F60
//jmp 去处kill ollydbg


问题是如何找到这里的.
2004-11-15 18:28
0
雪    币: 209
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
其实很简单,用PEID脱壳后,用VBExplorer打开后找到,FORM.LOAD事件(0X404B95),在这里面就肯定是对于大小的检测了还ANTI也一定在这里面.其它的检测的东西就要一步一步的跟就可以看到了.
2004-11-15 18:48
0
雪    币: 319
活跃值: (2459)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
23
我这里找不到FORM.LOAD事件呀!
2004-11-15 19:22
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
24
最初由 great1234 发布
楼上的楼上你是怎么知道这个校验的?


BP rtcFileLen
2004-11-15 19:32
0
雪    币: 209
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
以下是图
http://bbs.pediy.com/upload/image/2004/pk.jpg_222.jpg[/IMG] [/IMG]
2004-11-15 20:21
0
游客
登录 | 注册 方可回帖
返回
//