小弟遇到一个crackme,查壳提示没找到,OEP提示为0041011,跟踪是到00401000,可是在00401000脱壳后能运行可还是查不到信息,在00401011脱壳后为MASM32 / TASM32却不能运行,还往高手给说一下其中的原由,现把软件附上,
0040D4C5 > E8 00000000 CALL crackme.0040D4CA 停在这里,F8单步
0040D4CA 5D POP EBP ; crackme.0040D4CA下硬件断点
0040D4CB 81ED 60164000 SUB EBP,crackme.00401660
0040D4D1 FFB5 FC164000 PUSH DWORD PTR SS:[EBP+4016FC]
0040D4D7 FFB5 F8164000 PUSH DWORD PTR SS:[EBP+4016F8]
0040D4DD E8 8C000000 CALL crackme.0040D56E
0040D4E2 8BB5 EC164000 MOV ESI,DWORD PTR SS:[EBP+4016EC]
0040D4E8 837E 10 00 CMP DWORD PTR DS:[ESI+10],0
F9三次后到这里:
0040D611 897C24 1C MOV DWORD PTR SS:[ESP+1C],EDI F8走
0040D615 61 POPAD
0040D616 C3 RETN 返回到 0040D4E2 (crackme.0040D4E2)
0040D617 0000 ADD BYTE PTR DS:[EAX],AL
0040D619 0000 ADD BYTE PTR DS:[EAX],AL
0040D61B 0000 ADD BYTE PTR DS:[EAX],AL
0040D61D 0000 ADD BYTE PTR DS:[EAX],AL
0040D61F 0000 ADD BYTE PTR DS:[EAX],AL
0040D4E2 8BB5 EC164000 MOV ESI,DWORD PTR SS:[EBP+4016EC] ; crackme.00407000 来到这里
0040D4E8 837E 10 00 CMP DWORD PTR DS:[ESI+10],0
0040D4EC 74 62 JE SHORT crackme.0040D550 大的跳转,回车,F4 ,单步也可到0040DD50
0040D4EE 8B5E 0C MOV EBX,DWORD PTR DS:[ESI+C]
0040D4F1 039D F0164000 ADD EBX,DWORD PTR SS:[EBP+4016F0]
0040D4F7 53 PUSH EBX
0040D4F8 FF95 D5174000 CALL DWORD PTR SS:[EBP+4017D5]
0040D550 - FFA5 F4164000 JMP DWORD PTR SS:[EBP+4016F4] ; crackme.00401000 来到这里,又是大跳转
0040D556 0070 40 ADD BYTE PTR DS:[EAX+40],DH
0040D559 0000 ADD BYTE PTR DS:[EAX],AL
0040D55B 0040 00 ADD BYTE PTR DS:[EAX],AL
0040D55E 0010 ADD BYTE PTR DS:[EAX],DL
0040D560 40 INC EAX
0040D561 0000 ADD BYTE PTR DS:[EAX],AL
00401000 BE DB BE
00401001 6A DB 6A ; CHAR 'j' 跳到这儿,删除分析
00401002 12 DB 12
00401003 40 DB 40 ; CHAR '@'
00401004 00 DB 00
00401005 6A DB 6A ; CHAR 'j'
00401006 04 DB 04
00401000 BE 6A124000 MOV ESI,crackme.0040126A 删除分析后
00401005 6A 04 PUSH 4
00401007 68 00100000 PUSH 1000
0040100C 68 00400000 PUSH 4000
00401011 6A 00 PUSH 0 在这儿脱壳后查壳显示为MASM32 / TASM32却不能运行,修复也不行。
00401013 E8 64420000 CALL crackme.0040527C ; JMP 到 kernel32.VirtualAlloc
00401018 A3 08604000 MOV DWORD PTR DS:[406008],EAX
0040101D 8BF8 MOV EDI,EAX
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!