首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]这样入口点是不是用了C++的伪装壳. 0.00雪花
发表于: 2008-11-2 12:47 3926

[旧帖] [求助]这样入口点是不是用了C++的伪装壳. 0.00雪花

不明白 活跃值
2008-11-2 12:47
3926
在破解CALLERIP时,发现用FI读取是C++的,好象没有壳.用od载入发现文件头有点可疑.但本人新手.经验不足.如果是伪装壳但一按shift+F9就马上运行程序.没法脱壳.不知道是不是真的是伪装壳呢.如果用手动步进不一会就会运行程序的.以下是我发的一部分代码.请高手们指点指点.

004026C8 >  55              PUSH EBP
004026C9    8BEC            MOV EBP,ESP
004026CB    6A FF           PUSH -1
004026CD    68 00314000     PUSH CallerIP.00403100
004026D2    68 50284000     PUSH <JMP.&MSVCRT._except_handler3>      ; SE 处理程序安装
004026D7    64:A1 00000000  MOV EAX,DWORD PTR FS:[0]
004026DD    50              PUSH EAX
004026DE    64:8925 0000000>MOV DWORD PTR FS:[0],ESP
004026E5    83EC 68         SUB ESP,68
004026E8    53              PUSH EBX
004026E9    56              PUSH ESI
004026EA    57              PUSH EDI
004026EB    8965 E8         MOV DWORD PTR SS:[EBP-18],ESP
004026EE    33DB            XOR EBX,EBX
004026F0    895D FC         MOV DWORD PTR SS:[EBP-4],EBX
004026F3    6A 02           PUSH 2
004026F5    FF15 E0304000   CALL DWORD PTR DS:[<&MSVCRT.__set_app_ty>; msvcrt.__set_app_type
004026FB    59              POP ECX
004026FC    830D 98454000 F>OR DWORD PTR DS:[404598],FFFFFFFF
00402703    830D 9C454000 F>OR DWORD PTR DS:[40459C],FFFFFFFF
0040270A    FF15 DC304000   CALL DWORD PTR DS:[<&MSVCRT.__p__fmode>] ; msvcrt.__p__fmode
00402710    8B0D 94454000   MOV ECX,DWORD PTR DS:[404594]
00402716    8908            MOV DWORD PTR DS:[EAX],ECX
00402718    FF15 D8304000   CALL DWORD PTR DS:[<&MSVCRT.__p__commode>; msvcrt.__p__commode
0040271E    8B0D 90454000   MOV ECX,DWORD PTR DS:[404590]
00402724    8908            MOV DWORD PTR DS:[EAX],ECX
00402726    A1 D4304000     MOV EAX,DWORD PTR DS:[<&MSVCRT._adjust_f>
0040272B    8B00            MOV EAX,DWORD PTR DS:[EAX]
0040272D    A3 A0454000     MOV DWORD PTR DS:[4045A0],EAX
00402732    E8 10010000     CALL CallerIP.00402847
00402737    391D 50454000   CMP DWORD PTR DS:[404550],EBX
0040273D    75 0C           JNZ SHORT CallerIP.0040274B
0040273F    68 44284000     PUSH CallerIP.00402844
00402744    FF15 D0304000   CALL DWORD PTR DS:[<&MSVCRT.__setusermat>; msvcrt.__setusermatherr
0040274A    59              POP ECX
0040274B    E8 E2000000     CALL CallerIP.00402832

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (10)
xiaofu
雪    币: 1564
活跃值: (3572)
能力值: ( LV13,RANK:420 )
在线值:
发帖
回帖
粉丝
私信
2
看上去没壳,不过我也不敢保证.
2008-11-2 12:52
0
不明白
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
有15天的试用期.注册输入key时提示:"invalid license key syntax,please try again"如果没有壳为什么用W32asm查看时找不到这句提示的代码呢.
2008-11-2 13:03
0
xiaofu
雪    币: 1564
活跃值: (3572)
能力值: ( LV13,RANK:420 )
在线值:
发帖
回帖
粉丝
私信
4
有些字符串OD是找不出来的
2008-11-2 13:17
0
范范love
雪    币: 317
活跃值: (93)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
5
无壳C++的入口!有使用限制是包括在程序本身的,爆破或者追下注册码就可以啦!
2008-11-2 13:18
0
xiaofu
雪    币: 1564
活跃值: (3572)
能力值: ( LV13,RANK:420 )
在线值:
发帖
回帖
粉丝
私信
6
你把软件发上来看下
2008-11-2 13:19
0
不明白
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
呵呵希望版主不要说我要求破解.删我的贴哦.不过只打包个主程序不知道能不能分析到的.我改系统时间.运行主程序后,我发现另外一个文件callerip.ini里边的日期会跟着系统时间变.试用天数也变为以前的.

以下为程序:callerip主程序
上传的附件:
2008-11-2 13:32
0
rxzcums
雪    币: 427
活跃值: (65)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
8
无壳
需要java vm,我这里没有运行不了。
2008-11-2 13:41
0
徐立岩
雪    币: 210
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
VC++的入口特征。
2008-11-2 13:43
0
不明白
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
呵呵.安装时提示要安java5.0的.不过系统会自动安装的.
2008-11-2 13:43
0
不明白
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
网上有得下载,名字叫callerip3.0.大概2M吧.安装时提示要先安装java的.确定就会自动安装.一般爆破要先找注册的特征提示的.但我,找不到注册时的提示特征.不知道怎样爆破他的试用天数.并取出注册码.如果找到那还好搞点.
2008-11-2 13:47
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//