网站 › 『 软件逆向 』 › 宣宣极速网络电视脱壳去自校验及算法分析

thank243 发表于 2006-6-21 13:37:24

谢谢了。正在学习算法啊

pepsiguest 发表于 2006-6-28 23:11:19

有附加数据要粘贴到文件的尾部的``

lhl8730 发表于 2006-7-1 10:19:41

原帖由 pepsiguest 于 2006-6-28 23:11 发表
有附加数据要粘贴到文件的尾部的``
愿闻其祥

pepsiguest 发表于 2006-7-22 21:17:32

0049A957    55            push    ebp
0049A958    68 78AA4900   push    0049AA78
0049A95D    64:FF30         push    dword ptr fs:
0049A960    64:8920         mov   fs:, esp
0049A963    8BC3            mov   eax, ebx
0049A965    8B10            mov   edx,
0049A967    FF12            call   
0049A969    8BD0            mov   edx, eax
0049A96B    83EA 10         sub   edx, 10
0049A96E    33C9            xor   ecx, ecx
0049A970    8BC3            mov   eax, ebx
0049A972    8B38            mov   edi,
0049A974    FF57 14         call                                ; // 文件指针 指向文件大小-16字节
0049A977    8D55 F0         lea   edx,
0049A97A    B9 10000000   mov   ecx, 10
0049A97F    8BC3            mov   eax, ebx
0049A981    8B38            mov   edi,
0049A983    FF57 0C         call                               ; //取文件最后16字节
0049A986    8B7D FC         mov   edi,
0049A989    81FF 97130000   cmp   edi, 1397                  ; // 检验尾部的DWORD是否为 "1397"--不是就挂了
0049A98F    74 40         je      short 0049A9D1
0049A991    6A 00         push    0
0049A993    8D4D E8         lea   ecx,
0049A996    33D2            xor   edx, edx
0049A998    8BC7            mov   eax, edi
0049A99A    E8 91E0F6FF   call    00408A30
0049A99F    8B4D E8         mov   ecx,
0049A9A2    8D45 EC         lea   eax,                    ; //错误信息
0049A9A5    BA 90AA4900   mov   edx, 0049AA90      ; 这本电子书包含一个错误的讯号。这个应用程序将被终止。\n\n讯号：
0049A9AA    E8 D59AF6FF   call    00404484
0049A9AF    8B45 EC         mov   eax,
0049A9B2    66:8B0D E4AA490>mov   cx,
0049A9B9    B2 01         mov   dl, 1
0049A9BB    E8 8483F9FF   call    00432D44
0049A9C0    A1 AC024A00   mov   eax,
0049A9C5    8B00            mov   eax,
0049A9C7    E8 C4D5FDFF   call    00477F90                        
0049A9CC    E9 8C000000   jmp   0049AA5D
0049A9D1    8BC3            mov   eax, ebx
0049A9D3    8B10            mov   edx,
0049A9D5    FF12            call   
0049A9D7    8BF8            mov   edi, eax                     // 返回文件大小
0049A9D9    2B7D F0         sub   edi,              //文件尾16字节内容,关键--
-------------------
堆栈 ss:=0001B3E9                                 //数据跟随地址
edi=000637E9

---------------------
0012FEF8E9 B3 01 00 7B 14 AE 47 E1 7A 0A 40 97 13 00 00槌
.{瓽醶.@?..

E9 B3 01 00    --附加文件大小       0001B3E9
97 13 00 00   -- 最后一个DWORD是校验信息   0x1397

----------------------------------------
Alt+G来到文件尾向上偏移0001B3E9的地方。
从这里复制到文件尾再insert到脱壳后的文件尾，
保存，运行一下，正常了 。
-----------------------------------------

lizemi 发表于 2006-7-26 13:51:41

学习!!!!!!!!!!!!

joker27 发表于 2006-7-26 19:33:24

很讨厌自校验

qq500com 发表于 2006-12-14 15:11:53

宣宣极速网络电视--->全球电视直播王

honghe 发表于 2008-1-22 08:31:18

支持楼主，支持原创

arice 发表于 2008-1-23 05:43:07

谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢

查看完整版本: 宣宣极速网络电视脱壳去自校验及算法分析