UPX脱壳后 碰到自校验程序秒关
本帖最后由 Owner_Cracker 于 2016-9-1 17:01 编辑脱壳肯定没有问题,试了3种方式脱壳,脱壳后查壳均没问题,但是打开软件秒关,通过API断点“BP ExitProcess”已经跳过了一个关闭判断,但是依旧秒关,F8跟踪以后最好发现调用USER32后关闭,于是实现跳转最后一个Call,但是程序报内存错误,还请高手空闲帮忙看一下,谢谢!
程序本身打开有登录时间25秒退出的控制。
通过API断点跳过了第一次退出00490177|.83F8 01 cmp eax,1
0049017A|.74 0C jnz short dump2.00490188 此处判断进入后退出程序,修改为je后不进入
0049017C|.6A 00 push 0
0049017E|.B9 18766600 mov ecx
00490183|.E8 7873FFFF call dump2.00487500 此处为退出调用
00490188|>5D pop ebp
00490189\.C3 retn
第二次关闭我F8跟踪结果如下:
004846D6 |.E8 25000000 |call dump2.00484700进入以下第二处关闭00484735 |.E8 C6FAFFFF call dump2.00484200进入以下004842DC |.FF50 04 |call dword ptr ds:进入以下0048C923.E8 18000000 call dump2.0048C940进入以下0048CA90 |.E8 52B80900 call dump2.005282E7进入以下00528328 |.E8 78010000 call dump2.005284A5进入005284D2|. FF15 70865300 call dword ptr ds:[<&USER32.DestroyWindo>;\DestroyWindow
最后调用USER32后程序退出,但是过程中设计很多跳转,所以不知道怎么下手了,新手还请指教,谢谢!
因为论坛无法上传附件,还请到此下载:链接: http://pan.baidu.com/s/1miHE3zE 密码: 8wci
第一次发帖,如果有违规还请告知,谢谢!
大致就是这样了:
自校验bp CreateFileA 或者 CreateFileW 往后跟就是了 某发一遍,吾爱汇编论坛发一遍,也是够了,某告诉你了,吾爱汇编论坛看恒大第一期第四课。 LYQingYe 发表于 2016-9-1 10:47
自校验bp CreateFileA 或者 CreateFileW 往后跟就是了
谢谢,能否多说点原理和方法,新手看不明白,拜托 常瀚元 发表于 2016-9-1 11:13
某发一遍,吾爱汇编论坛发一遍,也是够了,某告诉你了,吾爱汇编论坛看恒大第一期第四课。
这是问题请教,总是有些人不愿意提点还喜欢批评 对比双开你懂 一字不差的复制过来 leroy特洛伊 发表于 2016-9-1 11:41
对比双开你懂
谢谢,这是一个方法,我试试 本帖最后由 Owner_Cracker 于 2016-9-1 13:32 编辑
892644330 发表于 2016-9-1 10:37
大致就是这样了:
请问能说明下详细的分析方法吗?谢谢
页:
[1]
2