首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]这个自校检好绕 0.00雪花
发表于: 2008-12-4 05:10 3232

[旧帖] [求助]这个自校检好绕 0.00雪花

W卿 活跃值
2008-12-4 05:10
3232
程序的壳ASPACK2.12 自动脱壳无果 OD手动脱壳后 语言是Borland Delphi 6.0 - 7.0 运行 说程序被修改 然后自动关闭 经过LPE和IMPORT REC ATI修复 运行 还是程序被修改 自动关闭 但是 这个自校验我找不到 所以请高手帮忙
007F6E4C > $  55            push ebp
007F6E4D   .  8BEC          mov ebp,esp
007F6E4F   .  83C4 F0       add esp,-10
007F6E52   .  53            push ebx
007F6E53   .  B8 C84F7F00   mov eax,dumped_.007F4FC8
007F6E58   .  E8 4301F1FF   call dumped_.00706FA0
007F6E5D   .  8B1D DCB37F00 mov ebx,dword ptr ds:[7FB3DC]                 ;  dumped_.00800CD4
007F6E63   .  8B03          mov eax,dword ptr ds:[ebx]
007F6E65   .  E8 5658F7FF   call dumped_.0076C6C0
007F6E6A   .  8B03          mov eax,dword ptr ds:[ebx]
007F6E6C   .  33D2          xor edx,edx
007F6E6E   .  E8 1D53F7FF   call dumped_.0076C190
007F6E73   .  8B0D 10B67F00 mov ecx,dword ptr ds:[7FB610]                 ;  dumped_.00926F34
007F6E79   .  8B03          mov eax,dword ptr ds:[ebx]
007F6E7B   .  8B15 94217F00 mov edx,dword ptr ds:[7F2194]                 ;  dumped_.007F21E0
007F6E81   .  E8 5258F7FF   call dumped_.0076C6D8
007F6E86   .  8B0D 08B57F00 mov ecx,dword ptr ds:[7FB508]                 ;  dumped_.00926F18
007F6E8C   .  8B03          mov eax,dword ptr ds:[ebx]
007F6E8E   .  8B15 38F67E00 mov edx,dword ptr ds:[7EF638]                 ;  dumped_.007EF684
007F6E94   .  E8 3F58F7FF   call dumped_.0076C6D8
007F6E99   .  8B0D C8B47F00 mov ecx,dword ptr ds:[7FB4C8]                 ;  dumped_.00801F40
007F6E9F   .  8B03          mov eax,dword ptr ds:[ebx]
007F6EA1   .  8B15 04A87E00 mov edx,dword ptr ds:[7EA804]                 ;  dumped_.007EA850
007F6EA7   .  E8 2C58F7FF   call dumped_.0076C6D8
007F6EAC   .  8B03          mov eax,dword ptr ds:[ebx]
007F6EAE   .  E8 5D59F7FF   call dumped_.0076C810
007F6EB3   .  5B            pop ebx
007F6EB4   .  E8 63DBF0FF   call dumped_.00704A1C
007F6EB9   .  8D40 00       lea eax,dword ptr ds:[eax]
007F6EBC   .  0000          add byte ptr ds:[eax],al
007F6EBE   .  0000          add byte ptr ds:[eax],al
007F6EC0   .  0000          add byte ptr ds:[eax],al
007F6EC2   .  0000          add byte ptr ds:[eax],al
007F6EC4   .  0000          add byte ptr ds:[eax],al
007F6EC6   .  0000          add byte ptr ds:[eax],al
007F6EC8   .  0000          add byte ptr ds:[eax],al
007F6ECA   .  0000          add byte ptr ds:[eax],al
007F6ECC   .  0000          add byte ptr ds:[eax],al
007F6ECE   .  0000          add byte ptr ds:[eax],al
007F6ED0   .  0000          add byte ptr ds:[eax],al

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (5)
大菜一号
雪    币: 424
活跃值: (10)
能力值: ( LV9,RANK:850 )
在线值:
发帖
回帖
粉丝
私信
2
bp CreateFile
2008-12-4 08:28
0
W卿
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
脱壳之后 运行程序 就说程序过低或程序被非法篡改
下段 F9一次之后  右下角的堆栈窗口现实如下    完全不知道应该怎么做了 =。=
0012FED4  返回到 kernel32.7C812AEB 来自 003D0000
0012FED8
0012FEDC  dumped_.007F6A44
0012FEE0
0012FEE4
0012FEE8
0012FEEC  返回到 003D003B
0012FEF0
0012FEF4
0012FEF8  ASCII "Main"
0012FEFC
0012FF00
0012FF04  返回到 dumped_.0071A275
0012FF08
0012FF0C
0012FF10
0012FF14  返回到 dumped_.0072B56D 来自 dumped_.0071A248
0012FF18
0012FF1C  返回到 dumped_.0072B582 来自 dumped_.00704BE4
0012FF20  dumped_.0072B58A
0012FF24
0012FF28  ASCII "JPEG Image File"
0012FF2C  ASCII "jpg"
0012FF30
0012FF34  返回到 dumped_.00777C9C 来自 <jmp.&kernel32.RaiseException>
0012FF38
0012FF3C
0012FF40
0012FF44
0012FF48  指针到下一个 SEH 记录
0012FF4C  SE 句柄
0012FF50
0012FF54
0012FF58  dumped_.007F6A44
0012FF5C
0012FF60
0012FF64  ASCII "Main"
0012FF68
0012FF6C
0012FF70
0012FF74  返回到 dumped_.007F6A57 来自 dumped_.00777C54
0012FF78  返回到 dumped_.00704823
0012FF7C  指针到下一个 SEH 记录
0012FF80  SE 句柄
0012FF84
0012FF88  返回到 kernel32.7C809AC6 来自 kernel32.7C802511
0012FF8C  返回到 safemon.100020CD 来自 safemon.10013070
0012FF90  dumped_.007F4FC8
0012FF94  dumped_.007F4FD0
0012FF98
0012FF9C  返回到 dumped_.0070488B 来自 dumped_.007047E4
0012FFA0  返回到 dumped_.00706FDF 来自 dumped_.0070484C
0012FFA4
0012FFA8  返回到 dumped_.007F6E5D 来自 dumped_.00706FA0
0012FFAC
0012FFB0  返回到 00390012
0012FFB4  指针到下一个 SEH 记录
0012FFB8  SE 句柄
0012FFBC
0012FFC0
0012FFC4  返回到 kernel32.7C817067
0012FFC8  返回到 kernel32.7C809AC6 来自 kernel32.7C802511
0012FFCC  返回到 safemon.100020CD 来自 safemon.10013070
0012FFD0
0012FFD4
0012FFD8
0012FFDC
0012FFE0  SEH 链尾部
0012FFE4  SE 句柄
0012FFE8  kernel32.7C817070
0012FFEC
0012FFF0
0012FFF4
0012FFF8  dumped_.<ModuleEntryPoint>
0012FFFC
2008-12-4 15:41
0
sando
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
bp CreateFileA
2008-12-4 17:14
0
W卿
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
托壳运行 点开始测试 就说版本过低或程序被全改 请下载最新版本 然后自动关闭
下断bp CreateFileA 我知道 但是看堆栈窗口 我不知道要找什么函数了。应该不是找EXITPROSS 这个函数吧?
2008-12-5 22:11
0
范范love
雪    币: 317
活跃值: (93)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
6
先确认下是什么效验,在去找思路吧,你试下是否是文件名效验,如果是大小效验,直接一个BPX,在那里退出,就在那里下手跳过即可!
2008-12-6 00:42
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//