[求助]请帮我找到正确的断点？-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 2 楼 bypass 2009-3-20 13:37 0
恒基路桥雪币： 181 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 17 粉丝 0 关注私信	恒基路桥 3 楼怎么没人指导一下啊 2009-3-21 08:19 0
恒基路桥雪币： 181 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 17 粉丝 0 关注私信	恒基路桥 4 楼找到一点眉目，原来注册程序在一个动态连接库里，但不知道如何绕过去 2009-3-21 10:15 0
恒基路桥雪币： 181 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 17 粉丝 0 关注私信	恒基路桥 5 楼 7C92EAF0 8B1C24 MOV EBX,DWORD PTR SS:[ESP] 7C92EAF3 51 PUSH ECX 7C92EAF4 53 PUSH EBX 7C92EAF5 E8 C78C0200 CALL ntdll.7C9577C1 7C92EAFA 0AC0 OR AL,AL 7C92EAFC 74 0C JE SHORT ntdll.7C92EB0A 7C92EAFE 5B POP EBX 7C92EAFF 59 POP ECX 7C92EB00 6A 00 PUSH 0 7C92EB02 51 PUSH ECX 7C92EB03 E8 11EBFFFF CALL ntdll.ZwContinue 7C92EB08 EB 0B JMP SHORT ntdll.7C92EB15 7C92EB0A 5B POP EBX 7C92EB0B 59 POP ECX 7C92EB0C 6A 00 PUSH 0 7C92EB0E 51 PUSH ECX 7C92EB0F 53 PUSH EBX 7C92EB10 E8 3DF7FFFF CALL ntdll.ZwRaiseException 在此处运行多次后出现注册窗口，但不知道怎么去掉注册？ 2009-3-21 10:28 0
恒基路桥雪币： 181 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 17 粉丝 0 关注私信	恒基路桥 6 楼 00B45655 <模块>/$ 837C24 08 01 CMP DWORD PTR SS:[ESP+8],1 ; (初始 cpu 选择) 00B4565A \|. 75 05 JNZ SHORT GBQ4Comm.00B45661 00B4565C \|. E8 F8830000 CALL GBQ4Comm.00B4DA59 00B45661 \|> FF7424 04 PUSH DWORD PTR SS:[ESP+4] 00B45665 \|. 8B4C24 10 MOV ECX,DWORD PTR SS:[ESP+10] 00B45669 \|. 8B5424 0C MOV EDX,DWORD PTR SS:[ESP+C] 00B4566D \|. E8 EDFEFFFF CALL GBQ4Comm.00B4555F 7C92EAF0 8B1C24 MOV EBX,DWORD PTR SS:[ESP] 7C92EAF3 51 PUSH ECX 7C92EAF4 53 PUSH EBX 7C92EAF5 E8 C78C0200 CALL ntdll.7C9577C1 7C95785B E8 F3BEFCFF CALL ntdll.7C923753 7C923758 /EB 0D JMP SHORT ntdll.7C923767 7C9577C1 8BFF MOV EDI,EDI 7C9577C3 55 PUSH EBP 7C9577C4 8BEC MOV EBP,ESP 7C9577C6 83EC 64 SUB ESP,64 7C9577C9 56 PUSH ESI 7C9577CA FF75 0C PUSH DWORD PTR SS:[EBP+C] 7C9577CD 8B75 08 MOV ESI,DWORD PTR SS:[EBP+8] 7C9577D0 56 PUSH ESI 7C9577D1 C645 FF 00 MOV BYTE PTR SS:[EBP-1],0 7C9577D5 E8 C2FFFFFF CALL ntdll.7C95779C 7C9577DA 84C0 TEST AL,AL 7C9577DC 0F85 84720100 JNZ ntdll.7C96EA66 7C9577E2 53 PUSH EBX 7C9577E3 8D45 F4 LEA EAX,DWORD PTR SS:[EBP-C] 7C9577E6 50 PUSH EAX 7C9577E7 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8] 7C9577EA 50 PUSH EAX 7C9577EB E8 1CC1FCFF CALL ntdll.7C92390C 7C9577F0 E8 38C1FCFF CALL ntdll.7C92392D 7C9577F5 8365 08 00 AND DWORD PTR SS:[EBP+8],0 7C9577F9 8BD8 MOV EBX,EAX 7C9577FB 83FB FF CMP EBX,-1 7C9577FE 0F84 8F000000 JE ntdll.7C957893 7C957804 57 PUSH EDI 7C957805 3B5D F8 CMP EBX,DWORD PTR SS:[EBP-8] 7C957808 ^ 0F82 1D32FFFF JB ntdll.7C94AA2B 7C95780E 8D43 08 LEA EAX,DWORD PTR DS:[EBX+8] 7C957811 3B45 F4 CMP EAX,DWORD PTR SS:[EBP-C] 7C957814 ^ 0F87 1132FFFF JA ntdll.7C94AA2B 7C95781A F6C3 03 TEST BL,3 7C95781D ^ 0F85 0832FFFF JNZ ntdll.7C94AA2B 7C957823 8B43 04 MOV EAX,DWORD PTR DS:[EBX+4] 7C957826 3B45 F8 CMP EAX,DWORD PTR SS:[EBP-8] 7C957829 72 09 JB SHORT ntdll.7C957834 7C95782B 3B45 F4 CMP EAX,DWORD PTR SS:[EBP-C] 7C95782E ^ 0F82 F731FFFF JB ntdll.7C94AA2B 7C957834 50 PUSH EAX 7C957835 E8 67000000 CALL ntdll.7C9578A1 7C95783A 84C0 TEST AL,AL 7C95783C ^ 0F84 E931FFFF JE ntdll.7C94AA2B 7C957842 F605 5AC3997C 8>TEST BYTE PTR DS:[7C99C35A],80 7C957849 0F85 20720100 JNZ ntdll.7C96EA6F 7C95784F FF73 04 PUSH DWORD PTR DS:[EBX+4] 7C957852 8D45 EC LEA EAX,DWORD PTR SS:[EBP-14] 7C957855 50 PUSH EAX 7C957856 FF75 0C PUSH DWORD PTR SS:[EBP+C] 7C957859 53 PUSH EBX 7C95785A 56 PUSH ESI 7C95785B E8 F3BEFCFF CALL ntdll.7C923753 7C923753 BA D837927C MOV EDX,ntdll.7C9237D8 7C923758 EB 0D JMP SHORT ntdll.7C923767 7C92375A 90 NOP 7C92375B 90 NOP 7C92375C 90 NOP 7C92375D 90 NOP 7C92375E 90 NOP 7C92375F 90 NOP 7C923760 BA 0438927C MOV EDX,ntdll.7C923804 7C923765 8D09 LEA ECX,DWORD PTR DS:[ECX] 7C923767 53 PUSH EBX 7C923768 56 PUSH ESI 7C923769 57 PUSH EDI 7C92376A 33C0 XOR EAX,EAX 7C92376C 33DB XOR EBX,EBX 7C92376E 33F6 XOR ESI,ESI 7C923770 33FF XOR EDI,EDI 7C923772 FF7424 20 PUSH DWORD PTR SS:[ESP+20] 7C923776 FF7424 20 PUSH DWORD PTR SS:[ESP+20] 7C92377A FF7424 20 PUSH DWORD PTR SS:[ESP+20] 7C92377E FF7424 20 PUSH DWORD PTR SS:[ESP+20] 7C923782 FF7424 20 PUSH DWORD PTR SS:[ESP+20] 7C923786 E8 0E000000 CALL ntdll.7C923799 7C92378B 5F POP EDI 7C92378C 5E POP ESI 7C92378D 5B POP EBX 7C92378E C2 1400 RETN 14 77C957B48 48 DEC EAX 7C957B49 0F85 DE6F0100 JNZ ntdll.7C96EB2D 7C957B4F 8BC3 MOV EAX,EBX 7C957B51 8B1B MOV EBX,DWORD PTR DS:[EBX] 7C957B53 50 PUSH EAX 7C957B54 E8 D7BCFCFF CALL ntdll.7C923830 7C957B59 83FB FF CMP EBX,-1 7C957B5C 0F84 36700100 JE ntdll.7C96EB98 7C957B62 ^ E9 7CFFFFFF JMP ntdll.7C957AE3 7C957B67 6A 00 PUSH 0 7C957B69 8D85 30FDFFFF LEA EAX,DWORD PTR SS:[EBP-2D0] 7C957B6F 50 PUSH EAX 7C957B70 E8 A45AFDFF CALL ntdll.ZwContinue 转来转去，就在这里，可就是找不到正确的断点，望高手执教 2009-3-24 15:25 0
honghan 雪币： 334 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 317 粉丝 0 关注私信	honghan 7 楼脱壳先顺便说一句强壳啊 2009-3-24 19:53 0
恒基路桥雪币： 181 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 17 粉丝 0 关注私信	恒基路桥 8 楼不会手动脱壳啊，大侠们能给个具体的指导意见吗？ 2009-3-25 13:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

达文西

雪币： 1632

活跃值： (13)

能力值：

( LV2，RANK：10 )

在线值：

发帖

18

回帖

1328

粉丝

0

关注

私信

达文西: 2 楼

bypass

2009-3-20 13:37

0

恒基路桥

雪币： 181

活跃值： (15)

能力值：

( LV2，RANK：10 )

在线值：

发帖

6

回帖

17

粉丝

0

关注

私信

恒基路桥: 3 楼

怎么没人指导一下啊

2009-3-21 08:19

0

恒基路桥

雪币： 181

活跃值： (15)

能力值：

( LV2，RANK：10 )

在线值：

发帖

6

回帖

17

粉丝

0

关注

私信

恒基路桥: 4 楼

找到一点眉目，原来注册程序在一个动态连接库里，但不知道如何绕过去

2009-3-21 10:15

0

恒基路桥

雪币： 181

活跃值： (15)

能力值：

( LV2，RANK：10 )

在线值：

发帖

6

回帖

17

粉丝

0

关注

私信

恒基路桥: 5 楼

7C92EAF0 8B1C24       MOV EBX,DWORD PTR SS:[ESP]
7C92EAF3 51             PUSH ECX
7C92EAF4 53             PUSH EBX
7C92EAF5 E8 C78C0200    CALL ntdll.7C9577C1
7C92EAFA 0AC0          OR AL,AL
7C92EAFC 74 0C          JE SHORT ntdll.7C92EB0A
7C92EAFE 5B             POP EBX
7C92EAFF 59             POP ECX
7C92EB00 6A 00          PUSH 0
7C92EB02 51             PUSH ECX
7C92EB03 E8 11EBFFFF    CALL ntdll.ZwContinue
7C92EB08 EB 0B          JMP SHORT ntdll.7C92EB15
7C92EB0A 5B             POP EBX
7C92EB0B 59             POP ECX
7C92EB0C 6A 00          PUSH 0
7C92EB0E 51             PUSH ECX
7C92EB0F 53             PUSH EBX
7C92EB10 E8 3DF7FFFF    CALL ntdll.ZwRaiseException

在此处运行多次后出现注册窗口，但不知道怎么去掉注册？

2009-3-21 10:28

0

恒基路桥

雪币： 181

活跃值： (15)

能力值：

( LV2，RANK：10 )

在线值：

发帖

6

回帖

17

粉丝

0

关注

私信

恒基路桥: 6 楼

00B45655 <模块>/$  837C24 08 01  CMP DWORD PTR SS:[ESP+8],1               ;  (初始 cpu 选择)
00B4565A     |.  75 05         JNZ SHORT GBQ4Comm.00B45661
00B4565C     |.  E8 F8830000   CALL GBQ4Comm.00B4DA59
00B45661     |>  FF7424 04     PUSH DWORD PTR SS:[ESP+4]
00B45665     |.  8B4C24 10     MOV ECX,DWORD PTR SS:[ESP+10]
00B45669     |.  8B5424 0C     MOV EDX,DWORD PTR SS:[ESP+C]
00B4566D     |.  E8 EDFEFFFF   CALL GBQ4Comm.00B4555F

7C92EAF0       8B1C24          MOV EBX,DWORD PTR SS:[ESP]
7C92EAF3       51              PUSH ECX
7C92EAF4       53              PUSH EBX
7C92EAF5       E8 C78C0200     CALL ntdll.7C9577C1

7C95785B    E8 F3BEFCFF     CALL ntdll.7C923753

7C923758   /EB 0D           JMP SHORT ntdll.7C923767

7C9577C1    8BFF            MOV EDI,EDI
7C9577C3    55              PUSH EBP
7C9577C4    8BEC            MOV EBP,ESP
7C9577C6    83EC 64         SUB ESP,64
7C9577C9    56              PUSH ESI
7C9577CA    FF75 0C         PUSH DWORD PTR SS:[EBP+C]
7C9577CD    8B75 08         MOV ESI,DWORD PTR SS:[EBP+8]
7C9577D0    56              PUSH ESI
7C9577D1    C645 FF 00      MOV BYTE PTR SS:[EBP-1],0
7C9577D5    E8 C2FFFFFF     CALL ntdll.7C95779C
7C9577DA    84C0            TEST AL,AL
7C9577DC    0F85 84720100   JNZ ntdll.7C96EA66
7C9577E2    53              PUSH EBX
7C9577E3    8D45 F4         LEA EAX,DWORD PTR SS:[EBP-C]
7C9577E6    50              PUSH EAX
7C9577E7    8D45 F8         LEA EAX,DWORD PTR SS:[EBP-8]
7C9577EA    50              PUSH EAX
7C9577EB    E8 1CC1FCFF     CALL ntdll.7C92390C
7C9577F0    E8 38C1FCFF     CALL ntdll.7C92392D
7C9577F5    8365 08 00      AND DWORD PTR SS:[EBP+8],0
7C9577F9    8BD8            MOV EBX,EAX
7C9577FB    83FB FF         CMP EBX,-1
7C9577FE    0F84 8F000000   JE ntdll.7C957893
7C957804    57              PUSH EDI
7C957805    3B5D F8         CMP EBX,DWORD PTR SS:[EBP-8]
7C957808  ^ 0F82 1D32FFFF   JB ntdll.7C94AA2B
7C95780E    8D43 08         LEA EAX,DWORD PTR DS:[EBX+8]
7C957811    3B45 F4         CMP EAX,DWORD PTR SS:[EBP-C]
7C957814  ^ 0F87 1132FFFF   JA ntdll.7C94AA2B
7C95781A    F6C3 03         TEST BL,3
7C95781D  ^ 0F85 0832FFFF   JNZ ntdll.7C94AA2B
7C957823    8B43 04         MOV EAX,DWORD PTR DS:[EBX+4]
7C957826    3B45 F8         CMP EAX,DWORD PTR SS:[EBP-8]
7C957829    72 09           JB SHORT ntdll.7C957834
7C95782B    3B45 F4         CMP EAX,DWORD PTR SS:[EBP-C]
7C95782E  ^ 0F82 F731FFFF   JB ntdll.7C94AA2B
7C957834    50              PUSH EAX
7C957835    E8 67000000     CALL ntdll.7C9578A1
7C95783A    84C0            TEST AL,AL
7C95783C  ^ 0F84 E931FFFF   JE ntdll.7C94AA2B
7C957842    F605 5AC3997C 8>TEST BYTE PTR DS:[7C99C35A],80
7C957849    0F85 20720100   JNZ ntdll.7C96EA6F
7C95784F    FF73 04         PUSH DWORD PTR DS:[EBX+4]
7C957852    8D45 EC         LEA EAX,DWORD PTR SS:[EBP-14]
7C957855    50              PUSH EAX
7C957856    FF75 0C         PUSH DWORD PTR SS:[EBP+C]
7C957859    53              PUSH EBX
7C95785A    56              PUSH ESI
7C95785B    E8 F3BEFCFF     CALL ntdll.7C923753

7C923753    BA D837927C     MOV EDX,ntdll.7C9237D8
7C923758    EB 0D           JMP SHORT ntdll.7C923767
7C92375A    90              NOP
7C92375B    90              NOP
7C92375C    90              NOP
7C92375D    90              NOP
7C92375E    90              NOP
7C92375F    90              NOP
7C923760    BA 0438927C     MOV EDX,ntdll.7C923804
7C923765    8D09            LEA ECX,DWORD PTR DS:[ECX]
7C923767    53              PUSH EBX
7C923768    56              PUSH ESI
7C923769    57              PUSH EDI
7C92376A    33C0            XOR EAX,EAX
7C92376C    33DB            XOR EBX,EBX
7C92376E    33F6            XOR ESI,ESI
7C923770    33FF            XOR EDI,EDI
7C923772    FF7424 20       PUSH DWORD PTR SS:[ESP+20]
7C923776    FF7424 20       PUSH DWORD PTR SS:[ESP+20]
7C92377A    FF7424 20       PUSH DWORD PTR SS:[ESP+20]
7C92377E    FF7424 20       PUSH DWORD PTR SS:[ESP+20]
7C923782    FF7424 20       PUSH DWORD PTR SS:[ESP+20]
7C923786    E8 0E000000     CALL ntdll.7C923799
7C92378B    5F              POP EDI
7C92378C    5E              POP ESI
7C92378D    5B              POP EBX
7C92378E    C2 1400         RETN 14

77C957B48    48              DEC EAX
7C957B49    0F85 DE6F0100   JNZ ntdll.7C96EB2D
7C957B4F    8BC3            MOV EAX,EBX
7C957B51    8B1B            MOV EBX,DWORD PTR DS:[EBX]
7C957B53    50              PUSH EAX
7C957B54    E8 D7BCFCFF     CALL ntdll.7C923830
7C957B59    83FB FF         CMP EBX,-1
7C957B5C    0F84 36700100   JE ntdll.7C96EB98
7C957B62  ^ E9 7CFFFFFF     JMP ntdll.7C957AE3
7C957B67    6A 00           PUSH 0
7C957B69    8D85 30FDFFFF   LEA EAX,DWORD PTR SS:[EBP-2D0]
7C957B6F    50              PUSH EAX
7C957B70    E8 A45AFDFF     CALL ntdll.ZwContinue

转来转去，就在这里，可就是找不到正确的断点，望高手执教

2009-3-24 15:25

0