CrackMe一个，小难-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

CrackMe一个，小难

发表于: 2004-11-12 01:34 13094

CrackMe一个，小难

aqtata

2004-11-12 01:34

13094

附件:Crackme.rar

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・3

免费・1

支持

最新回复 (27) 1 2 ▶
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 2 楼你想作什么?叫人脱壳还是破解? 2004-11-12 11:03 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 3 楼 004015B0 68 80174000 push CrackMe.00401780 004015B5 E8 F0FFFFFF call CrackMe.004015AA ; jmp to MSVBVM60.ThunRTMain 入口点. 2004-11-12 11:05 0
lucktiger 雪币： 5953 活跃值： (2752) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 261 粉丝 1 关注私信	lucktiger 4 楼这只是第一步，还有自校验、反调试。 2004-11-12 16:07 0
duzaizhe 雪币： 211 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 202 粉丝 0 关注私信	duzaizhe 5 楼最初由 great1234 发布你想作什么?叫人脱壳还是破解? 很象UPX 2004-11-13 15:49 0
lucktiger 雪币： 5953 活跃值： (2752) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 261 粉丝 1 关注私信	lucktiger 6 楼就是upx壳改动过的 2004-11-13 16:55 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼壳简单去除校验也不难不过我想请问一下作者这个是啥意思 2004-11-13 17:30 0
aqtata 雪币： 319 活跃值： (1131) 能力值： ( LV7，RANK：100 ) 在线值：发帖 76 回帖 358 粉丝 2 关注私信	aqtata 2 8 楼呵呵，标题而已~~~没什么 2004-11-13 19:22 0
kanxue 雪币： 50149 活跃值： (20525) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 542 关注私信	kanxue 8 9 楼最初由 aqtata 发布呵呵，标题而已~~~没什么这个标题：“SB，你在看什么”，容易让人产生误解而不快。 2004-11-13 19:31 0
aqtata 雪币： 319 活跃值： (1131) 能力值： ( LV7，RANK：100 ) 在线值：发帖 76 回帖 358 粉丝 2 关注私信	aqtata 2 10 楼下次改正！:p 2004-11-13 19:34 0
RoBa 雪币： 519 活跃值： (1223) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 857 粉丝 9 关注私信	RoBa 16 11 楼这个SB是故意写上的么，我怎么觉得在好多EXE里都见过这个:D 2004-11-14 15:22 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 12 楼我记得以前有软件在里面写过想认识解密高手之类的话。 2004-11-14 17:45 0
csjwaman 雪币： 319 活跃值： (2459) 能力值： ( LV12，RANK：980 ) 在线值：发帖 75 回帖 883 粉丝 10 关注私信	csjwaman 24 13 楼自校验： 00404D5F 33C9 XOR ECX,ECX 00404D61 3D 69420000 CMP EAX,4269＝＝＝＞比较文件大小。 00404D66 8D45 D4 LEA EAX,DWORD PTR SS:[EBP-2C] 00404D69 50 PUSH EAX 00404D6A 8D45 D8 LEA EAX,DWORD PTR SS:[EBP-28] 00404D6D 50 PUSH EAX 00404D6E 8D45 E0 LEA EAX,DWORD PTR SS:[EBP-20] 00404D71 50 PUSH EAX 00404D72 8D45 DC LEA EAX,DWORD PTR SS:[EBP-24] 00404D75 50 PUSH EAX 00404D76 8D45 E4 LEA EAX,DWORD PTR SS:[EBP-1C] 00404D79 0F9FC1 SETG CL＝＝＝＝＞设置标志。NOP掉就可以取消自校验。 00404D7C F7D9 NEG ECX 00404D7E 50 PUSH EAX 00404D7F 6A 05 PUSH 5 00404D81 8BF9 MOV EDI,ECX 但反调试不知从何入手。请指教。 2004-11-14 19:29 0
hbgsw 雪币： 201 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	hbgsw 14 楼 :D :D 靠，这么多高手啊。 2004-11-15 03:27 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 15 楼楼上的楼上你是怎么知道这个校验的? 2004-11-15 04:19 0
tane 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 119 粉丝 1 关注私信	tane 16 楼最初由 csjwaman 发布自校验： 00404D5F 33C9 XOR ECX,ECX 00404D61 3D 69420000 CMP EAX,4269＝＝＝＞比较文件大小。 00404D66 8D45 D4 LEA EAX,DWORD PTR SS:[EBP-2C] 00404D69 50 PUSH EAX ........ 00404D61 3D 69420000 CMP EAX,4269＝＝＝＞比较文件大小。将这改为 00404D61 3D 69420000 CMP EAX,0FFFFFFF＝＝＝＞比较文件大小。就可以逃过校验了.其中还有对进程名为OLLYD,和UNKILLOD开始,检测如果有就关闭调试器.最好办法就是将OD的类名和名称都改了,一劳永逸. 2004-11-15 08:57 0
kylinpoet 雪币： 139 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 90 粉丝 0 关注私信	kylinpoet 17 楼 seh 太长怎么办啊？ 2004-11-15 10:55 0
tane 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 119 粉丝 1 关注私信	tane 18 楼在调试中忽略所有异常,并添加最近的异常即可. 2004-11-15 12:30 0
csjwaman 雪币： 319 活跃值： (2459) 能力值： ( LV12，RANK：980 ) 在线值：发帖 75 回帖 883 粉丝 10 关注私信	csjwaman 24 19 楼最初由 tane 发布 00404D61 3D 69420000 CMP EAX,4269＝＝＝＞比较文件大小。将这改为 00404D61 3D 69420000 CMP EAX,0FFFFFFF＝＝＝＞比较文件大小。就可以逃过校验了.其中还有对进程名为OLLYD,和UNKILLOD开始,检测如果有就关闭调试器.最好办法就是将OD的类名和名称都改了,一劳永逸. 怎么找到反调试代码的？用修改版的OD也不行。 2004-11-15 13:36 0
lucktiger 雪币： 5953 活跃值： (2752) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 261 粉丝 1 关注私信	lucktiger 20 楼 00406EF9 /74 65 je short dumped_.00406F60 //jmp 去处kill ollydbg 2004-11-15 14:00 0
csjwaman 雪币： 319 活跃值： (2459) 能力值： ( LV12，RANK：980 ) 在线值：发帖 75 回帖 883 粉丝 10 关注私信	csjwaman 24 21 楼最初由 lucktiger 发布 00406EF9 /74 65 je short dumped_.00406F60 //jmp 去处kill ollydbg 问题是如何找到这里的. 2004-11-15 18:28 0
tane 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 119 粉丝 1 关注私信	tane 22 楼其实很简单,用PEID脱壳后,用VBExplorer打开后找到,FORM.LOAD事件(0X404B95),在这里面就肯定是对于大小的检测了还ANTI也一定在这里面.其它的检测的东西就要一步一步的跟就可以看到了. 2004-11-15 18:48 0
csjwaman 雪币： 319 活跃值： (2459) 能力值： ( LV12，RANK：980 ) 在线值：发帖 75 回帖 883 粉丝 10 关注私信	csjwaman 24 23 楼我这里找不到FORM.LOAD事件呀! 2004-11-15 19:22 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 24 楼最初由 great1234 发布楼上的楼上你是怎么知道这个校验的? BP rtcFileLen 2004-11-15 19:32 0
tane 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 119 粉丝 1 关注私信	tane 25 楼以下是图 http://bbs.pediy.com/upload/image/2004/pk.jpg_222.jpg[/IMG] [/IMG] 2004-11-15 20:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

aqtata

发帖

358

回帖

100

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (27) 1 2 ▶
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 2 楼你想作什么?叫人脱壳还是破解? 2004-11-12 11:03 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 3 楼 004015B0 68 80174000 push CrackMe.00401780 004015B5 E8 F0FFFFFF call CrackMe.004015AA ; jmp to MSVBVM60.ThunRTMain 入口点. 2004-11-12 11:05 0
lucktiger 雪币： 5953 活跃值： (2752) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 261 粉丝 1 关注私信	lucktiger 4 楼这只是第一步，还有自校验、反调试。 2004-11-12 16:07 0
duzaizhe 雪币： 211 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 202 粉丝 0 关注私信	duzaizhe 5 楼最初由 great1234 发布你想作什么?叫人脱壳还是破解? 很象UPX 2004-11-13 15:49 0
lucktiger 雪币： 5953 活跃值： (2752) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 261 粉丝 1 关注私信	lucktiger 6 楼就是upx壳改动过的 2004-11-13 16:55 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼壳简单去除校验也不难不过我想请问一下作者这个是啥意思 2004-11-13 17:30 0
aqtata 雪币： 319 活跃值： (1131) 能力值： ( LV7，RANK：100 ) 在线值：发帖 76 回帖 358 粉丝 2 关注私信	aqtata 2 8 楼呵呵，标题而已~~~没什么 2004-11-13 19:22 0
kanxue 雪币： 50149 活跃值： (20525) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 542 关注私信	kanxue 8 9 楼最初由 aqtata 发布呵呵，标题而已~~~没什么这个标题：“SB，你在看什么”，容易让人产生误解而不快。 2004-11-13 19:31 0
aqtata 雪币： 319 活跃值： (1131) 能力值： ( LV7，RANK：100 ) 在线值：发帖 76 回帖 358 粉丝 2 关注私信	aqtata 2 10 楼下次改正！:p 2004-11-13 19:34 0
RoBa 雪币： 519 活跃值： (1223) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 857 粉丝 9 关注私信	RoBa 16 11 楼这个SB是故意写上的么，我怎么觉得在好多EXE里都见过这个:D 2004-11-14 15:22 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 12 楼我记得以前有软件在里面写过想认识解密高手之类的话。 2004-11-14 17:45 0
csjwaman 雪币： 319 活跃值： (2459) 能力值： ( LV12，RANK：980 ) 在线值：发帖 75 回帖 883 粉丝 10 关注私信	csjwaman 24 13 楼自校验： 00404D5F 33C9 XOR ECX,ECX 00404D61 3D 69420000 CMP EAX,4269＝＝＝＞比较文件大小。 00404D66 8D45 D4 LEA EAX,DWORD PTR SS:[EBP-2C] 00404D69 50 PUSH EAX 00404D6A 8D45 D8 LEA EAX,DWORD PTR SS:[EBP-28] 00404D6D 50 PUSH EAX 00404D6E 8D45 E0 LEA EAX,DWORD PTR SS:[EBP-20] 00404D71 50 PUSH EAX 00404D72 8D45 DC LEA EAX,DWORD PTR SS:[EBP-24] 00404D75 50 PUSH EAX 00404D76 8D45 E4 LEA EAX,DWORD PTR SS:[EBP-1C] 00404D79 0F9FC1 SETG CL＝＝＝＝＞设置标志。NOP掉就可以取消自校验。 00404D7C F7D9 NEG ECX 00404D7E 50 PUSH EAX 00404D7F 6A 05 PUSH 5 00404D81 8BF9 MOV EDI,ECX 但反调试不知从何入手。请指教。 2004-11-14 19:29 0
hbgsw 雪币： 201 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	hbgsw 14 楼 :D :D 靠，这么多高手啊。 2004-11-15 03:27 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 15 楼楼上的楼上你是怎么知道这个校验的? 2004-11-15 04:19 0
tane 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 119 粉丝 1 关注私信	tane 16 楼最初由 csjwaman 发布自校验： 00404D5F 33C9 XOR ECX,ECX 00404D61 3D 69420000 CMP EAX,4269＝＝＝＞比较文件大小。 00404D66 8D45 D4 LEA EAX,DWORD PTR SS:[EBP-2C] 00404D69 50 PUSH EAX ........ 00404D61 3D 69420000 CMP EAX,4269＝＝＝＞比较文件大小。将这改为 00404D61 3D 69420000 CMP EAX,0FFFFFFF＝＝＝＞比较文件大小。就可以逃过校验了.其中还有对进程名为OLLYD,和UNKILLOD开始,检测如果有就关闭调试器.最好办法就是将OD的类名和名称都改了,一劳永逸. 2004-11-15 08:57 0
kylinpoet 雪币： 139 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 90 粉丝 0 关注私信	kylinpoet 17 楼 seh 太长怎么办啊？ 2004-11-15 10:55 0
tane 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 119 粉丝 1 关注私信	tane 18 楼在调试中忽略所有异常,并添加最近的异常即可. 2004-11-15 12:30 0
csjwaman 雪币： 319 活跃值： (2459) 能力值： ( LV12，RANK：980 ) 在线值：发帖 75 回帖 883 粉丝 10 关注私信	csjwaman 24 19 楼最初由 tane 发布 00404D61 3D 69420000 CMP EAX,4269＝＝＝＞比较文件大小。将这改为 00404D61 3D 69420000 CMP EAX,0FFFFFFF＝＝＝＞比较文件大小。就可以逃过校验了.其中还有对进程名为OLLYD,和UNKILLOD开始,检测如果有就关闭调试器.最好办法就是将OD的类名和名称都改了,一劳永逸. 怎么找到反调试代码的？用修改版的OD也不行。 2004-11-15 13:36 0
lucktiger 雪币： 5953 活跃值： (2752) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 261 粉丝 1 关注私信	lucktiger 20 楼 00406EF9 /74 65 je short dumped_.00406F60 //jmp 去处kill ollydbg 2004-11-15 14:00 0
csjwaman 雪币： 319 活跃值： (2459) 能力值： ( LV12，RANK：980 ) 在线值：发帖 75 回帖 883 粉丝 10 关注私信	csjwaman 24 21 楼最初由 lucktiger 发布 00406EF9 /74 65 je short dumped_.00406F60 //jmp 去处kill ollydbg 问题是如何找到这里的. 2004-11-15 18:28 0
tane 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 119 粉丝 1 关注私信	tane 22 楼其实很简单,用PEID脱壳后,用VBExplorer打开后找到,FORM.LOAD事件(0X404B95),在这里面就肯定是对于大小的检测了还ANTI也一定在这里面.其它的检测的东西就要一步一步的跟就可以看到了. 2004-11-15 18:48 0
csjwaman 雪币： 319 活跃值： (2459) 能力值： ( LV12，RANK：980 ) 在线值：发帖 75 回帖 883 粉丝 10 关注私信	csjwaman 24 23 楼我这里找不到FORM.LOAD事件呀! 2004-11-15 19:22 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 24 楼最初由 great1234 发布楼上的楼上你是怎么知道这个校验的? BP rtcFileLen 2004-11-15 19:32 0
tane 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 119 粉丝 1 关注私信	tane 25 楼以下是图 http://bbs.pediy.com/upload/image/2004/pk.jpg_222.jpg[/IMG] [/IMG] 2004-11-15 20:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复