兄弟们，帮忙看一下这个自校验

wufabiyu

上传的两个文件，一个原版，一个dump版。x64dbg调试的。所有图片左边是原版，右边是修改后dump的。
开始处：


单步调试对比，当走到这一步时，看起来是一样的，再往前走一 步，就发现寄存器不一样了。




最后，进入入口点的前一步是这样的。



再走一步出现入口点，左图是正常的，右图就不一样了：



求高手指点一下，问题在哪里，具体怎么个分析过程和解决方案。


附件是一个exe和一个文件夹。不下载文件夹，只下载exe也可以。


链接: https://pan.baidu.com/s/1tDOwVTlWY-0HNRchrO4g2w
提取码: er94

wufabiyu

我的图片哪去了？

zenix

dump 是 dump
原版是原版
肯定不一样啊。
最后一张图的地址也都不同。

飘云

找个二进制对比工具定位一些数据先~

wufabiyu

飘云 发表于 2022-9-19 16:16
找个二进制对比工具定位一些数据先~

不好意思，可能是 我没说明白哈。。dump的，是我自己修改后dump的。发现它运行结果跟原版不一样，但又找不么关键的跳转，两者运行路径看起来一样，就在最后一步<Call ntdll.ZwContinue>这里，下一步结果就不一样了。
另外，可能是我见识太短哈，，我用peid检测过，说它不是一个有效的PE文件。。懵了······

wufabiyu

看来要成僵尸帖了，自己来更新一下吧！
经过这两天的摸索，发现x64dbg加载进来后，初始化过程中，使用了ZwContinue，新建线程处理。但这个过程无法下断点。
网上有x86的方法，能找到新线程的eip。但在x64里不适用，进入ZwContinue时堆栈里没有网上说的地址“[dword ptr [esp+0c] + B8] 为continue到的地址”，只有一个返回地址，还在研究中，无耐自己对SEH一点都不了解。希望有在x64下搞过ZwContinue的大神能帮一下。

zhaohj

F7单步进入zwcontinue的时候看堆栈，
[dword ptr [esp+0c] + B8] 为continue到的地址

wufabiyu

兄弟，我是不是哪里没弄明白？

yeyue

你想干嘛，我下下来文件发现不能运行，重新在网站下载的文件，刚进去有个登录的页面 ，你想改哪

wufabiyu

yeyue 发表于 2022-9-23 23:09
你想干嘛，我下下来文件发现不能运行，重新在网站下载的文件，刚进去有个登录的页面 ，你想改哪

哥们，你说的登陆页面是用户名密码吗？如果是这个状态，应该是已经过了自校验和加密狗了。
一般打开界面是这样的。