-
-
[旧帖]
[求助]惊奇于被vmprotect保护的程序。
0.00雪花
-
发表于:
2009-10-6 17:28
1573
-
[旧帖] [求助]惊奇于被vmprotect保护的程序。
0.00雪花
先下段,bp MessageBoxA
77D507EA > 8BFF mov edi, edi
77D507EC 55 push ebp
77D507ED 8BEC mov ebp, esp
77D507EF 833D BC14D777 0>cmp dword ptr [77D714BC], 0
77D507F6 74 24 je short 77D5081C
77D507F8 64:A1 18000000 mov eax, dword ptr fs:[18]
77D507FE 6A 00 push 0
77D50800 FF70 24 push dword ptr [eax+24]
77D50803 68 241BD777 push 77D71B24
77D50808 FF15 C412D177 call dword ptr [<&KERNEL32.Interlocke>; kernel32.InterlockedCompareExchange
77D5080E 85C0 test eax, eax
77D50810 75 0A jnz short 77D5081C
77D50812 C705 201BD777 0>mov dword ptr [77D71B20], 1
77D5081C 6A 00 push 0
77D5081E FF75 14 push dword ptr [ebp+14]
77D50821 FF75 10 push dword ptr [ebp+10]
77D50824 FF75 0C push dword ptr [ebp+C]
77D50827 FF75 08 push dword ptr [ebp+8]
77D5082A E8 2D000000 call MessageBoxExA
77D5082F 5D pop ebp
77D50830 C2 1000 retn 10
堆栈如下
0012F504 0054DF38 /CALL 到 MessageBoxA 来自 .0054DF33
0012F508 000400FE |hOwner = 000400FE ('提示!',class='TFMain')
0012F50C 0049D523 |Text = "注册码错误?,A2,"",B2,"",BB,"完整, 必须?,AB,"",B2,"刻钚",B4,"!"
0012F510 0049D547 |Title = "提示"
0012F514 00000010 \Style = MB_OK|MB_ICONHAND|MB_APPLMODAL
如果F8跟的话。能跑到这里
0054DF38 68 FFA4E91C push 1CE9A4FF
如果重新启动程序,在0054DF33处设置断点,程序怎么也不能被暂停。怎么在vmp中破解呢。
od里正常显示。
0054DF32 62E8 bound ebp, eax ; 非法使用寄存器
0054DF34 92 xchg eax, edx
0054DF35 30F9 xor cl, bh
0054DF37 FF68 FF jmp far fword ptr [eax-1]
0054DF3A A4 movs byte ptr es:[edi], byte ptr [esi>
0054DF3B - E9 1CE83960 jmp 608EC75C
Gtrl+G找到的。
0054DF33 E8 9230F9FF call 004E0FCA
0054DF38 68 FFA4E91C push 1CE9A4FF
[课程]Linux pwn 探索篇!