脱壳后输入初始码运行一闪就退出来,怎么去掉这个程序的调试检验?
OD载入ESP定律法脱壳
请教各位高手如何躲过这种软件的调试检测?
软件在:http://www.398455720.cn/index.htm
[ 本帖最后由 雨梦轩 于 2010-5-20 00:52 编辑 ] 自校验,通常是脱压缩壳后有文件比较大小,OD载入后看一下所调用的文件比较函数来确定。 这是基础知识哦,楼主多翻翻我的老教程~~~
bp CreateFileA然后回溯~
005FEED7call 00582EF4 ; 第①处
005FEEDCtest al, al
005FEEDEjnz 005FEF86
还有一处留给你自己练习
改了就OK了~~~ 想起来了,好像是零五年的那个教程?第四课
多谢老师了。
按照老师的断点。
下断
bp CreateFileA
输入123456确定,
停下来,点ALT+F9
单步
发现了两个字符串
00583051 8B06 MOV EAX,DWORD PTR DS:
DS:=07F23F6C, (ASCII "97F8A2BC")
EAX=0061E3C8 (dumped_.0061E3C8)
00583056 E8 9D24E8FF CALL dumped_.004054F8
EAX 07F23F6C ASCII "97F8A2BC"
ECX 00000002
EDX 07F20CD8 ASCII "27292250"
猜猜我把27292250或者97F8A2BC放进去,发现了什么,软件 变成 空心接龙小游戏了。
神奇啊。
单步到
005830CE C3 RETN
到
005FEEDC 84C0 TEST AL,AL
此时AL=00
005FEEDE /0F85 A2000000 JNZ dumped_.005FEF86未跳,改JZ,让跳。
可以躲过大段无休止的循环。
可是后面还是程序死机了。
另外,按照第四课的内容,载入就下断点bp CreateFileA,运行。在堆栈那里点右键,跟随到反汇编。发现了CreateFileA。
虽然没弄出来,但今天又学习了点。
[ 本帖最后由 whdl 于 2010-5-20 19:16 编辑 ] 对于你的进步我很高兴
叹一个...字数字数字数字数
http://www.discuz.net/static/image/common/sigline.gif
燃文 叹一个...字数字数字数字数
doudou8308 发表于 2011-2-24 15:34 https://www.chinapyg.com/images/common/back.gif
兄弟,不要灌水哈。 警告一次,
页:
[1]