首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [讨论]怎样找关键call 0.00雪花
发表于: 2008-8-13 09:44 4155

[旧帖] [讨论]怎样找关键call 0.00雪花

hnjscx 活跃值
2008-8-13 09:44
4155
这是一个Alcohol 120%的例子,请大家发表看法“仁者见仁,智者见智”吧
004016EC > /EB 10           jmp short 1.004016FE //入口

004016EE   |66:623A         bound di,dword ptr ds:[edx]
004016F1   |43              inc ebx
004016F2   |2B2B            sub ebp,dword ptr ds:[ebx]
004016F4   |48              dec eax
004016F5   |4F              dec edi
004016F6   |4F              dec edi
004016F7   |4B              dec ebx
004016F8   |90              nop
004016F9  -|E9 98906700     jmp 00A7A796
004016FE   \A1 8B906700     mov eax,dword ptr ds:[67908B]
00401703    C1E0 02         shl eax,2
00401706    A3 8F906700     mov dword ptr ds:[67908F],eax
0040170B    52              push edx
0040170C    6A 00           push 0
0040170E    E8 C55F2700     call <jmp.&kernel32.GetModuleHandle>
用 bp MessageBoxA下断
77D504EA >  8BFF            mov edi,edi//程序断在这
77D504EC    55              push ebp
77D504ED    8BEC            mov ebp,esp
77D504EF    833D BC04D777 0>cmp dword ptr ds:[77D704BC],0
77D504F6    74 24           je short USER32.77D5051C
77D504F8    64:A1 18000000  mov eax,dword ptr fs:[18]
77D504FE    6A 00           push 0
77D50500    FF70 24         push dword ptr ds:[eax+24]
77D50503    68 240BD777     push USER32.77D70B24
77D50508    FF15 C812D177   call dword ptr ds:[<&KERNEL32.Inter>; kernel32.InterlockedCompareExchange
77D5050E    85C0            test eax,eax
77D50510    75 0A           jnz short USER32.77D5051C
77D50512    C705 200BD777 0>mov dword ptr ds:[77D70B20],1
77D5051C    6A 00           push 0
77D5051E    FF75 14         push dword ptr ss:[ebp+14]
77D50521    FF75 10         push dword ptr ss:[ebp+10]
77D50524    FF75 0C         push dword ptr ss:[ebp+C]
77D50527    FF75 08         push dword ptr ss:[ebp+8]
77D5052A    E8 2D000000     call USER32.MessageBoxExA
77D5052F    5D              pop ebp
77D50530    C2 1000         retn 10

堆栈显示
0012E5A8   00424FD7  /CALL 到 MessageBoxA 来自 1.00424FD2
0012E5AC   000602A4  |hOwner = 000602A4 ('注册',class='TForm',parent=00210294)
0012E5B0   00FCBFA8  |Text = "序列号无效! 注册失败!"
0012E5B4   00FBAC0C  |Title = "注册"
0012E5B8   00000000  \Style = MB_OK|MB_APPLMODAL
我也不知道怎样找关键CALL了。

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (10)
君君寒
雪    币: 6092
活跃值: (654)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
私信
2

自己动手 分一足十
2008-8-13 09:49
0
zapline
雪    币: 2362
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
没试过  应该就在MessageBoxA前面不远
2008-8-13 09:55
0
kyuanzhao
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
按常规的话在对比内存,寄存器前面是关键CALL
2008-8-13 14:55
0
rxzcums
雪    币: 427
活跃值: (65)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
5
回这里往上找:00424FD2
2008-8-13 15:02
0
小菜鸟一
雪    币: 889
活跃值: (4027)
能力值: ( LV5,RANK:69 )
在线值:
发帖
回帖
粉丝
私信
6
右键跟随到地址00424FD2    再向上看看   就到了吧
2008-8-13 15:43
0
smczx
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
找到这个消息没有太大用处。
2008-8-13 15:44
0
hnjscx
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
右键跟随到地址00424FD2  是没用的我拭了N变!!!!!!!!!!!!!!
2008-8-15 09:10
0
君君寒
雪    币: 6092
活跃值: (654)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
私信
9
去FAQ  看基础
不要那么发这些  无意义的帖子了
2008-8-15 10:08
0
东方介
雪    币: 102
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
我倒是不发贴,搞的我积分上不去,唉。
2008-8-15 10:11
0
锐捷技术
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
77D50527    FF75 08         push dword ptr ss:[ebp+8]
77D5052A    E8 2D000000     call USER32.MessageBoxExA
77D5052F    5D              pop ebp
77D50530    C2 1000         retn 10
这些都表明你现在在系统领空
到系统领空后按alt+f9回程序领空 然后找地址下断
2008-8-15 10:19
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//