针对悬赏区的一款软件用pus恒大法秒破教程
本帖最后由 小葫芦 于 2016-8-25 22:15 编辑https://www.52hb.com/thread-27273-1-1.html这是悬赏地址
这篇文章是昨天上午写的了,但是等我写完点发帖结果点了XXXXXXX遍就是发不出去,试了试连主页都打不开了,
机智的我果断了按下了CTRL+A和CTRL+V,可惜图片还是没能保存下来,不然的话我一个多小时的结果就毁于一旦了!
特别声明:
本人小白一个,写的不好请大神不要见怪,不喜勿看,请文明看帖。有哪位大牛如果觉得我还能有那么一点可以值得点拨一二的价值就赶紧收了我吧!
今天在悬赏区看到有朋友遇到一款加壳的软件没有思路了,帖子楼下的各位大神用pus恒大法已经秒破了,但是都没有说明分析方法
下面我就给大家用图文的方式详解的讲解一下pus恒大法的使用过程
首先我们先载入软件
这里点否即可
因为软件已经加壳了我没有脱壳 打算直接打补丁,所以我们要让软件运行起来自行解密数据
等待软件完全运行起来以后我们搜索401000
来到401000处我们在搜索特征码FF25找到窗体事件
搜索FF25之后我们看图片上的位置,这里就是软件的登陆窗口
我们记录下他的数据保存到记事本,稍后会用到
记录好以后我们返回到401000处查找命令push10001
找窗口的时候一定要记录准确,数据相同的窗口只记录一次就行
记录好之后就按ctrl+l寻找下一处,一直到OD提示找不到了为止
特别说明:
push法只能适用一部分软件,有些软件窗口有很多,用push发会累死人,
有些push成功后会没有功能!
找出所有窗口后我们保存好数据备用
特别说明,如果软件无壳现在就可以用push法替换窗口
但是我们的软件是有壳的所以替换前还要做一些其他工作
废话少说下面给大家继续上图
我们返回到401000处搜索易语言的按钮事件特征码:ff55fc5f5e(特征码大家最好记住,经常会用到)
搜索到以后我们直接在此处下断点
断下以后点击软件的登陆按钮,程序会自行断在我们刚才所下的断点上
此时我们按F7进CALL
进CALL以后我们直接修改数据让他跳转到登陆窗口那里
测试出了功能窗口后我们就要替换
所有数据都需要在OD里修改好之后取得新的二进制代码之后才能打补丁
主要看图片我所标注的地方一定要一一对应
修改好这两处数据我们生成下补丁测试下能成功吗
好了,逆向成功
沙发属于自己的
目测Srv。{:5_116:} 又一次离大神这么近 NX学习学习 感谢分享!学习了! PUSH 大法好 Jacky 发表于 2016-8-26 01:35
目测Srv。
这位才是大神能看出软件有感染。其实软件本身好像没问题的,是我虚拟机有感染! 学习一下,非常感谢 感谢分享!学习了