小菜练手遇阻求大牛指点
本帖最后由 路人甲 于 2015-8-20 01:50 编辑大家好,我是新手。最近闲来无事就去网上找了一款软件来练习。{:5_116:}
第一步,先查壳。vmp1,小菜不会脱壳{:5_118:}于是决定打补丁。
载入OD F9运行起来
ctrl+G 00401000查找字符串看看是否存在有用信息,无果。
于是想到用push窗口法
ctrl+b ff25 然后ctrl+L两次如图
发现是易语言写的,push 0x5202D3F6 启动窗口
但是我接着ctrl+F 搜push 10001搜不到有用的窗口,被VM的太厉害了{:5_127:}
接着我从按钮事件找起,想看看有什么突破点
ctrl+G 到487BCD F2下断 F9运行起来 点击按钮,断下后F8跟进
小菜初吾爱汇编论坛资质尚浅看不懂段代码,后面就不知道该如何操作了……
还有,我发现这个程序还存在一个退出暗桩,于是我下断ExitProcess
当程序检查到OD退出的时候就断在这里
右下角鼠标右键点击菜单,在反汇编窗口中跟随……然后段首retn没效果,不知道是哪里出错了,希望大牛能指点一二。
以上就是小菜的分析,第一次发帖,如有违规请斑竹删帖{:5_191:}
火眼查毒链接http://fireeye.ijinshan.com/analyse.html?md5=5e8bb2901806590891a342234d6b0453&sha1=061a113e3f3c3c41269337cc0b98614208b1fef7&type=1
下载地址链接: http://share.weiyun.com/9eb339c961828577e4b29be5cdfde511
备用链接http://www.wikifortio.com/726867/%E5%B9%BB%E6%8C%82%E6%8A%BD%E5%A5%96%E7%9B%92%E5%AD%90375X%E7%AC%AC1%E7%89%88.vmp.zip
这样吗?不懂有没有功能
只可惜我点进来是为了看答案的...同菜! 膜拜会RETN的 请人肉出这个作者的所在地带把刀找到他剩下的 你就会了 你在系统领空了,那么大的地址。执行到用户代码,或者跟出来。{:6_225:} 苍白无力。 发表于 2015-8-20 14:00
这样吗?不懂有没有功能
没错,就是这样,希望能告诉我分析方法
页:
[1]