首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
关于自效验问题,请教fly
发表于: 2004-5-15 14:01 6016

关于自效验问题,请教fly

bbsxwk 活跃值
1
2004-5-15 14:01
6016
软件名:XPlite
下载地址:http://www.crsky.com/soft/2631.htm
脱壳后启动程序便自删除,怀疑有自效验,请问怎么找到他的自效验?还有他删除文件的函数是deletefilea,找到后不知道怎么解决。
我想的办法最好是去掉自效验,或去掉自动关闭的函数和删除文件的函数。
不知道fly有什么高见,望赐教。

PS:文庙终于进第二版的加密解密了,要不是为了省下那6块钱,早就想拥有这本书了,粗略的看了一下,封面是我最喜欢的那种效果,整本书也比第一版厚实了许多,不过光盘的软件部分略有些遗憾,或许是版权的原因把,觉得没有crack2004的丰富。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 6
支持
分享
最新回复 (5)
runjin
雪    币: 107
活跃值: (811)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
私信
2
下载不了
2004-5-15 19:18
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
3
XPlite.exe 是UPX壳,用FileScan或者UPX-Ripper脱壳

然后修改1个字节解除自校验:

004AF4D7     8A08          mov cl,byte ptr ds:[eax]
004AF4D9     3A0A          cmp cl,byte ptr ds:[edx]
004AF4DB     74 06         je short XPlite.004AF4E3
004AF4DD     C645 FB 00    mov byte ptr ss:[ebp-5],0//改为mov byte ptr ss:[ebp-5],1
004AF4E1     EB 05         jmp short XPlite.004AF4E8

这样就能运行啦,具体还有无其他校验你自己再测试吧
对比跟踪也比较麻烦呀
2004-5-15 23:51
0
橡皮泥
雪    币: 209
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
最初由 fly 发布

对比跟踪也比较麻烦呀


偶又学到了一招了对比跟踪接触自效验:对付自效验是不是大部分都用对比跟踪了?容易直接分析吗?

所谓的对比跟踪是否是,边跟踪脱掉的和边跟踪没脱壳的,这样同样的走起看?
2004-5-16 00:23
0
bbsxwk
雪    币: 239
活跃值: (190)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
5
厉害 高手终归是高手
请问能简单的说说怎么找到这段代码的吗?
2004-5-17 18:11
0
无名和尚
雪    币: 272
活跃值: (340)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
6
好方法,studying
2004-5-17 18:55
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//