[结束]2008看雪论坛读书月第二题[7.18～7.27]-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[结束]2008看雪论坛读书月第二题[7.18～7.27]

发表于: 2008-7-18 19:13 53284

[结束]2008看雪论坛读书月第二题[7.18～7.27]

kanxue

2008-7-18 19:13

53284

查看主题内容

收藏・7

免费・0

支持

最新回复 (139) ◀ 1 2 3 4 5 6 ▶
Bughoho 雪币： 1946 活跃值： (243) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 26 楼 Disassembly of THUNK at 0x00D69998 0xD69998: 3909 CMP DWORD PTR [ECX],ECX 0xD6999A: E8817B9578 CALL 0x796C1520 0xD6999F: C3 RET PID: 0xF88 TID: 0xDCC 1st Chance Exception: ACCESS_VIOLATION Address: 00D69998 2008-7-18 22:08 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 27 楼膜拜MegaX 2008-7-18 23:04 0
tankaiha 雪币： 5275 活跃值： (451) 能力值： (RANK：1170 ) 在线值：发帖 92 回帖 563 粉丝 19 关注私信	tankaiha 29 28 楼可能有两个原因： 1）crackme加密的程序本身有兼容性问题。（不过.net 2.0应该就能运行，可能性不大） 2）crackme是有反调试机制的，且是抛出异常的形式，因此有可能是运行了反编译或调试器导致的。 2008-7-18 23:04 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 29 楼还有自校验？ 2008-7-18 23:05 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 30 楼都搞.net了，可以退休了其实tankaiha可以出一个.net的脱壳，相信很多人会去挑战第一题分析算法，第二题又是分析算法。。。很累 2008-7-18 23:06 0
tankaiha 雪币： 5275 活跃值： (451) 能力值： (RANK：1170 ) 在线值：发帖 92 回帖 563 粉丝 19 关注私信	tankaiha 29 31 楼其实第二题是先脱再分析... 而且底下讨论时，觉得脱的部分难一些... 而且作者是MegaX，不是偶写的，偶写不出来啊 .net破解，其实搞深了还是win32，只不过要知道一些.net的结构。就像逆向C++程序时，得知道C++类在内存中的布局吧，.net也一样，就是知道元数据在内存中的布局。.net连接了高级语言（如C#）和底层系统，因此逆向时，可上可下。 2008-7-18 23:07 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 32 楼学习~ 123456 2008-7-18 23:13 0
MegaX 雪币： 274 活跃值： (13) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 141 粉丝 0 关注私信	MegaX 1 33 楼 1.做出注册机并分析保护机制 2.找出序列号并分析保护机制 2008-7-18 23:52 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 34 楼 [QUOTE=MegaX;483170]1.做出注册机并分析保护机制 2.找出序列号并分析保护机制[/QUOTE] 不还是要分析算法吗？并不是去除保护机制分析保护机制不叫脱壳，找出anti也叫分析保护机制 2008-7-19 00:19 0
太难了雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 140 粉丝 0 关注私信	太难了 35 楼 .net 的完全免疫，67890 2008-7-19 00:26 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 6 关注私信	zhuwg 11 36 楼太慢了..只能在第三页了 2008-7-19 07:39 0
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 37 楼好几台机器上都运行不了。楼上运行正常的朋友，装没装.NET编程软件？我尝试调试了一下，发现资源冲突，与搜狗输入法间歇性冲突。我昨晚试验了一个小时，结合楼上说的，直觉是壳的问题，是不是壳的资源配置方面的问题？供作者思考。上传的附件：不能运行的一些现象.rar （36.49kb，22次下载） 2008-7-19 08:13 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 38 楼这东西真的没问题吗? 等下面几楼的来解答. 2008-7-19 08:22 0
overlordme 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	overlordme 39 楼也凑个热闹，看看能不能搞定 2008-7-19 08:33 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 40 楼 [QUOTE=Bughoho;483120]Disassembly of THUNK at 0x00D69998 0xD69998: 3909 CMP DWORD PTR [ECX],ECX 0xD6999A: E8817B9578 CALL 0...[/QUOTE] 这是 Framework 的 system.dll 应该跟这个无关总之看不出来是故意Error的. 2008-7-19 08:36 0
MegaX 雪币： 274 活跃值： (13) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 141 粉丝 0 关注私信	MegaX 1 41 楼上传一个test上来，如果这个没有问题，那crackme也应该没问题的。由于程序是用vs2008来编译的，但编译的时候选了2.0，如果你只装了2.0，但还不能运行这个test，那请试一下装个3.5的。我想这种情况应该会很少。上传的附件： Test.rar （33.76kb，38次下载） 2008-7-19 09:13 0
MegaX 雪币： 274 活跃值： (13) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 141 粉丝 0 关注私信	MegaX 1 42 楼做了手脚，用Reflector是不能打开的 2008-7-19 09:15 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 43 楼好难一下子就晕了 2008-7-19 09:15 0
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 44 楼这个我考虑到了。所以在OD中尝试了一下，发现有壳。 TEST通过，正常。可以确定是壳的问题。试一下装个3.5的看看。。。 2008-7-19 09:22 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 45 楼 test.exe OK crackme 不OK 什么Debugger'Disassembler都没. 一样Error 3.5 .... f-.- 算了. OS快坏了. 给大家加油好了. 2008-7-19 09:24 0
MegaX 雪币： 274 活跃值： (13) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 141 粉丝 0 关注私信	MegaX 1 46 楼壳是没问题的,试一下在一个干净的系统运行,不要开任何的调试器,包括OD 2008-7-19 09:26 0
hflywolf 雪币： 440 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 63 粉丝 0 关注私信	hflywolf 1 47 楼 XP+SP2 +NET Framework V2.0 SP1 下啥调试器都不开程序能正常运行. 但是.net 的实在是搞不来..... 混淆得都不知道是啥了...... 一点思路都没........ 只好观注........... 2008-7-19 09:42 0
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 48 楼调试器都不开，程序还是不行。估计是运行环境的不同了。 DW20.exe不正常，ID：1556。 2008-7-19 09:53 0
MegaX 雪币： 274 活跃值： (13) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 141 粉丝 0 关注私信	MegaX 1 49 楼那应该是crackme检查到有调试器，你看看你有那些进程是跟调试器的差不多的，将他结束掉再看看 2008-7-19 10:13 0
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 50 楼没发现异常的：未命名的窗口进程名称窗口路径 000000A8 smss \SystemRoot\System32\smss.exe 000000C0 csrss \??\C:\WINNT\system32\csrss.exe 000000D4 winlogon NetDDE Agent \??\C:\WINNT\system32\winlogon.exe 000000F0 services C:\WINNT\system32\services.exe 000000FC lsass C:\WINNT\system32\lsass.exe 00000194 svchost C:\WINNT\system32\svchost.exe 000001D4 ravmond Rising Mail Windows C:\PROGRAM FILES\RISING\RAV\ravmond.exe 00000264 RavStub C:\PROGRAM FILES\RISING\RAV\RavStub.exe 00000280 svchost Default IME C:\WINNT\system32\svchost.exe 000002B4 spoolsv C:\WINNT\system32\spoolsv.exe 000002F0 p2psvr C:\Program Files\Common Files\Sogou PXP\p2psvr.exe 00000308 regsvc C:\WINNT\system32\regsvc.exe 00000318 CCenter C:\Program Files\Rising\Rav\CCenter.exe 00000334 MSTask SYSTEM AGENT COM WINDOW C:\WINNT\system32\MSTask.exe 000003C8 SMAgent C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe 0000040C WinMgmt C:\WINNT\System32\WBEM\WinMgmt.exe 00000420 svchost C:\WINNT\system32\svchost.exe 00000438 taskmgr Windows 任务管理器 C:\WINNT\system32\taskmgr.exe 000004B8 Explorer SysFader C:\WINNT\Explorer.EXE 0000052C SMax4PNP SMax4PNP C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe 00000538 Smax4 SoundMax4 C:\Program Files\Analog Devices\SoundMAX\Smax4.exe 00000540 igfxtray igfxtrayWindow C:\WINNT\system32\igfxtray.exe 00000554 Rundll32 Default IME C:\WINNT\system32\Rundll32.exe 00000568 RavTask Default IME C:\Program Files\Rising\Rav\RavTask.exe 00000590 internat SoPY_UI C:\WINNT\system32\internat.exe 000005AC Ravmon 瑞星主动防御 C:\Program Files\Rising\Rav\Ravmon.exe 晚上再说吧，下班后有人请吃饭。 2008-7-19 10:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

kanxue

2369

发帖

17027

回帖

350

RANK

关注

私信

他的文章

[公告]由于近几天，有大量爬虫抓取论坛文章，导致论坛访问较慢，部分版块需要登录可见 6870

关于我们

联系我们

企业服务

看雪公众号

最新回复 (139) ◀ 1 2 3 4 5 6 ▶
Bughoho 雪币： 1946 活跃值： (243) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 26 楼 Disassembly of THUNK at 0x00D69998 0xD69998: 3909 CMP DWORD PTR [ECX],ECX 0xD6999A: E8817B9578 CALL 0x796C1520 0xD6999F: C3 RET PID: 0xF88 TID: 0xDCC 1st Chance Exception: ACCESS_VIOLATION Address: 00D69998 2008-7-18 22:08 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 27 楼膜拜MegaX 2008-7-18 23:04 0
tankaiha 雪币： 5275 活跃值： (451) 能力值： (RANK：1170 ) 在线值：发帖 92 回帖 563 粉丝 19 关注私信	tankaiha 29 28 楼可能有两个原因： 1）crackme加密的程序本身有兼容性问题。（不过.net 2.0应该就能运行，可能性不大） 2）crackme是有反调试机制的，且是抛出异常的形式，因此有可能是运行了反编译或调试器导致的。 2008-7-18 23:04 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 29 楼还有自校验？ 2008-7-18 23:05 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 30 楼都搞.net了，可以退休了其实tankaiha可以出一个.net的脱壳，相信很多人会去挑战第一题分析算法，第二题又是分析算法。。。很累 2008-7-18 23:06 0
tankaiha 雪币： 5275 活跃值： (451) 能力值： (RANK：1170 ) 在线值：发帖 92 回帖 563 粉丝 19 关注私信	tankaiha 29 31 楼其实第二题是先脱再分析... 而且底下讨论时，觉得脱的部分难一些... 而且作者是MegaX，不是偶写的，偶写不出来啊 .net破解，其实搞深了还是win32，只不过要知道一些.net的结构。就像逆向C++程序时，得知道C++类在内存中的布局吧，.net也一样，就是知道元数据在内存中的布局。.net连接了高级语言（如C#）和底层系统，因此逆向时，可上可下。 2008-7-18 23:07 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 32 楼学习~ 123456 2008-7-18 23:13 0
MegaX 雪币： 274 活跃值： (13) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 141 粉丝 0 关注私信	MegaX 1 33 楼 1.做出注册机并分析保护机制 2.找出序列号并分析保护机制 2008-7-18 23:52 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 34 楼 [QUOTE=MegaX;483170]1.做出注册机并分析保护机制 2.找出序列号并分析保护机制[/QUOTE] 不还是要分析算法吗？并不是去除保护机制分析保护机制不叫脱壳，找出anti也叫分析保护机制 2008-7-19 00:19 0
太难了雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 140 粉丝 0 关注私信	太难了 35 楼 .net 的完全免疫，67890 2008-7-19 00:26 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 6 关注私信	zhuwg 11 36 楼太慢了..只能在第三页了 2008-7-19 07:39 0
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 37 楼好几台机器上都运行不了。楼上运行正常的朋友，装没装.NET编程软件？我尝试调试了一下，发现资源冲突，与搜狗输入法间歇性冲突。我昨晚试验了一个小时，结合楼上说的，直觉是壳的问题，是不是壳的资源配置方面的问题？供作者思考。上传的附件：不能运行的一些现象.rar （36.49kb，22次下载） 2008-7-19 08:13 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 38 楼这东西真的没问题吗? 等下面几楼的来解答. 2008-7-19 08:22 0
overlordme 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	overlordme 39 楼也凑个热闹，看看能不能搞定 2008-7-19 08:33 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 40 楼 [QUOTE=Bughoho;483120]Disassembly of THUNK at 0x00D69998 0xD69998: 3909 CMP DWORD PTR [ECX],ECX 0xD6999A: E8817B9578 CALL 0...[/QUOTE] 这是 Framework 的 system.dll 应该跟这个无关总之看不出来是故意Error的. 2008-7-19 08:36 0
MegaX 雪币： 274 活跃值： (13) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 141 粉丝 0 关注私信	MegaX 1 41 楼上传一个test上来，如果这个没有问题，那crackme也应该没问题的。由于程序是用vs2008来编译的，但编译的时候选了2.0，如果你只装了2.0，但还不能运行这个test，那请试一下装个3.5的。我想这种情况应该会很少。上传的附件： Test.rar （33.76kb，38次下载） 2008-7-19 09:13 0
MegaX 雪币： 274 活跃值： (13) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 141 粉丝 0 关注私信	MegaX 1 42 楼做了手脚，用Reflector是不能打开的 2008-7-19 09:15 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 43 楼好难一下子就晕了 2008-7-19 09:15 0
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 44 楼这个我考虑到了。所以在OD中尝试了一下，发现有壳。 TEST通过，正常。可以确定是壳的问题。试一下装个3.5的看看。。。 2008-7-19 09:22 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 45 楼 test.exe OK crackme 不OK 什么Debugger'Disassembler都没. 一样Error 3.5 .... f-.- 算了. OS快坏了. 给大家加油好了. 2008-7-19 09:24 0
MegaX 雪币： 274 活跃值： (13) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 141 粉丝 0 关注私信	MegaX 1 46 楼壳是没问题的,试一下在一个干净的系统运行,不要开任何的调试器,包括OD 2008-7-19 09:26 0
hflywolf 雪币： 440 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 63 粉丝 0 关注私信	hflywolf 1 47 楼 XP+SP2 +NET Framework V2.0 SP1 下啥调试器都不开程序能正常运行. 但是.net 的实在是搞不来..... 混淆得都不知道是啥了...... 一点思路都没........ 只好观注........... 2008-7-19 09:42 0
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 48 楼调试器都不开，程序还是不行。估计是运行环境的不同了。 DW20.exe不正常，ID：1556。 2008-7-19 09:53 0
MegaX 雪币： 274 活跃值： (13) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 141 粉丝 0 关注私信	MegaX 1 49 楼那应该是crackme检查到有调试器，你看看你有那些进程是跟调试器的差不多的，将他结束掉再看看 2008-7-19 10:13 0
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 50 楼没发现异常的：未命名的窗口进程名称窗口路径 000000A8 smss \SystemRoot\System32\smss.exe 000000C0 csrss \??\C:\WINNT\system32\csrss.exe 000000D4 winlogon NetDDE Agent \??\C:\WINNT\system32\winlogon.exe 000000F0 services C:\WINNT\system32\services.exe 000000FC lsass C:\WINNT\system32\lsass.exe 00000194 svchost C:\WINNT\system32\svchost.exe 000001D4 ravmond Rising Mail Windows C:\PROGRAM FILES\RISING\RAV\ravmond.exe 00000264 RavStub C:\PROGRAM FILES\RISING\RAV\RavStub.exe 00000280 svchost Default IME C:\WINNT\system32\svchost.exe 000002B4 spoolsv C:\WINNT\system32\spoolsv.exe 000002F0 p2psvr C:\Program Files\Common Files\Sogou PXP\p2psvr.exe 00000308 regsvc C:\WINNT\system32\regsvc.exe 00000318 CCenter C:\Program Files\Rising\Rav\CCenter.exe 00000334 MSTask SYSTEM AGENT COM WINDOW C:\WINNT\system32\MSTask.exe 000003C8 SMAgent C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe 0000040C WinMgmt C:\WINNT\System32\WBEM\WinMgmt.exe 00000420 svchost C:\WINNT\system32\svchost.exe 00000438 taskmgr Windows 任务管理器 C:\WINNT\system32\taskmgr.exe 000004B8 Explorer SysFader C:\WINNT\Explorer.EXE 0000052C SMax4PNP SMax4PNP C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe 00000538 Smax4 SoundMax4 C:\Program Files\Analog Devices\SoundMAX\Smax4.exe 00000540 igfxtray igfxtrayWindow C:\WINNT\system32\igfxtray.exe 00000554 Rundll32 Default IME C:\WINNT\system32\Rundll32.exe 00000568 RavTask Default IME C:\Program Files\Rising\Rav\RavTask.exe 00000590 internat SoPY_UI C:\WINNT\system32\internat.exe 000005AC Ravmon 瑞星主动防御 C:\Program Files\Rising\Rav\Ravmon.exe 晚上再说吧，下班后有人请吃饭。 2008-7-19 10:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复