歪坑牌CM2.3再次登场(爆走之法)
本帖最后由 易木马 于 2015-12-27 17:09 编辑CM下载地址:歪坑牌CM2.3再次登场https://www.52hb.com/thread-18393-1-1.html(出处: 吾爱汇编论坛)
本文作者:易木马(DevilMayCry)
平 台:XP
工 具:OD。
其实这没有必要写这篇文章的,但为60HB还是要简单记录一下。因为这里面有2个坑。也有2个亮点。1.打开界面。
其实这里面的注册按钮并没有什么功能。验证都放在CM.DLL里面了,另外一个DLL是运行库。
2.OD载入,不运行。搜一下字符串,Form.Show
里面会调用kernel32.Process32First,来创建进程列表,对OD检测。
如果有,则直接退出
逃避的办法很简单,进程名字改一改就可以了。直接修改改跳转也是可能的。放到段首,有两处调用。另一处调用就是我想要的Button1Click事件了。我们看看是不是坑货。
也是醉了……注册里面并没有什么内容。
3.那么注册的合法性在那里检测 呢,看看OD的主模块,一直在歪坑牌CM2.3,都没有去CM.DLL。
ALT+E,CM.DLL分析一下,搜索一下如图:
还有那些组件尽收眼下。我们得找一个有代码的地方。push cm.004f4530就好。我们进去捋一下。
但大家 没有必要去分析这个,没有什么意义,因为下面就是明码了。
这个算法也是很简单的……1.转16进制,2.与EDBGKK相连。
正好可以验证一下。
用户名:DevilMayCry
密码:44EDBGKK65EDBGKK76EDBGKK69EDBGKK6CEDBGKK4DEDBGKK61EDBGKK79EDBGKK43EDBGKK72EDBGKK79EDBGKK
D的16进制+EDBGKK+.........
好了,过一次,看二次。同样的方法
向下一找就对了button1Click事件。
JNZ 就看到原先毕露了……。
我猜下一代,可能作者会在这上面作文章。
打完收工!
楼主你好叼 楼主你好,我操作与你相同,为什么我这里不显示汇编代码,仅仅是控件名称。
我这没看到你截图中的mov以及push,我这里最多出现个dd。。
请问楼主,为什么我和你不一样?
黑刀 发表于 2015-12-27 18:08
楼主你好,我操作与你相同,为什么我这里不显示汇编代码,仅仅是控件名称。
我这没看到你截图中的mov以及p ...
分析过了吗?如果分析过了还是没有,那就是OD问题,换个试试。 黑刀 发表于 2015-12-27 18:08
楼主你好,我操作与你相同,为什么我这里不显示汇编代码,仅仅是控件名称。
我这没看到你截图中的mov以及p ...
哦,他也可以上下翻一翻 卤煮好叼。分给你{:5_188:} 看看大牛是怎么逆向的。 学习高手们是如何逆向
页:
[1]