- UID
- 48683
注册时间2008-3-31
阅读权限20
最后登录1970-1-1
以武会友
 
TA的每日心情 | 无聊
2015-8-12 00:27 |
|---|
签到天数: 1 天 [LV.1]初来乍到
|
发表于 2008-9-26 17:56:59
|
显示全部楼层
0040B001 > 9C pushfd //开始脱壳
0040B002 60 pushad //F8单步开走
0040B003 70 61 jo short VB-crack.0040B066
0040B005 636B 24 arpl word ptr ds:[ebx+24],bp
0040B008 40 inc eax
0040B009 33C0 xor eax,eax
0040B00B 61 popad
0040B00C 9D popfd
0040B00D 60 pushad
0040B00E E8 00000000 call VB-crack.0040B013 //此处执行ESP定律
0040B013 90 nop
━━━━━━━━━━━━━━━━━━━━━━━━━━
0040B3B5 ^\EB FB jmp short VB-crack.0040B3B2 //此跳向上,让他跳即可
0040B3B7 ^ EB EB jmp short VB-crack.0040B3A4
0040B3B9 0068 F4 add byte ptr ds:[eax-C],ch
0040B3BC 14 40 adc al,40
0040B3BE 00C3 add bl,al
━━━━━━━━━━━━━━━━━━━━━━━━━━
0040B3B2 /EB 04 jmp short VB-crack.0040B3B8 //此跳向下,让他跳即可
0040B3B4 |61 popad
0040B3B5 ^|EB FB jmp short VB-crack.0040B3B2
0040B3B7 ^|EB EB jmp short VB-crack.0040B3A4
0040B3B9 0068 F4 add byte ptr ds:[eax-C],ch
━━━━━━━━━━━━━━━━━━━━━━━━━━
0040B3B8 /EB 00 jmp short VB-crack.0040B3BA
0040B3BA \68 F4144000 push VB-crack.004014F4
0040B3BF C3 retn //此处返回到OEP
━━━━━━━━━━━━━━━━━━━━━━━━━━
004014F4 68 F4204000 push VB-crack.004020F4 //在此脱壳
004014F9 E8 F0FFFFFF call VB-crack.004014EE ; jmp to msvbvm60.ThunRTMain
004014FE 0000 add byte ptr ds:[eax],al
00401500 0000 add byte ptr ds:[eax],al
00401502 0000 add byte ptr ds:[eax],al
00401504 3000 xor byte ptr ds:[eax],al
━━━━━━━━━━━━━━━━━━━━━━━━━━
脱壳后会出现 请不要非法修改程序
━━━━━━━━━━━━━━━━━━━━━━━━━━
现在来去效验,c32asm加载,先查字符串,在点编辑,unicode码分析
有可用信息,找到我们的错误提示:请不要非法修改我程序
━━━━━━━━━━━━━━━━━━━━━━━━━━
加载我们脱壳后的程序,ctrl+g输入00405692也就是我们的错误提示的地址,找到段首
改为retn即破掉自效验,剩下的,即利用c32asm去帮助你寻找注册码,里面已经详细标名正确与错误的地址在那里啦 |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?加入我们
x
|
楼主: 夜冷风
IP卡
楼主
显身卡
发表于 2008-9-26 17:06:18
发表于 2008-9-26 17:57:33
发表于 2008-9-26 18:04:15
发表于 2008-9-26 19:00:18
