解决脱壳后无法定位程序输入点与程序破解
本帖最后由 Shy 于 2016-11-13 17:34 编辑本教程由学逆向Thx赞助播出(“哎呀我摔倒了要你们评分Thx给我才能起来{:5_187:}”)
悬赏帖子:https://www.52hb.com/thread-29197-1-1.html
逆向前言:捡起多年未手脱壳的手艺,,帮忙解决一个小问题,事实上还是因为没什么人发课件,,你们要发一些我玩得动的啊,,,
逆向正文:**** Hidden Message *****
这时候我们需要用Load Pe,看一下Base Of Code
这个代码基址就是001F8000,我们需要修改成00001000
这时候Load Pe就用不上了,貌似不能改这个代码基址,所以我没有找到合适的工具,这时候我们用Winhex
把脱壳好修复好的文件脱进去(记得在OD里面关闭进程),然后我们修改成这样
保存一下就正常了,关于一些其他的代码优化,比如区段改名之类的,这里我就不说了,意义不是特别的大,,关于程序优化自行寻找相关资料
接着我们来逆向这个程序,根据这个帖子作者的描述,是一个论坛验证,这就简单了,,
事实上我们直接搜索字符串"欢迎您"
复制下地址004090BC > \68 02000080 push 0x80000002
然后004085DC . /0F85 1A000000 jnz 004085FC
这个位置直接强跳到004090BC
效果如图
再将这里NOP
00409107 . /0F84 470A0000 je 00409B54///NOP
来到这里
这里是判断用户组是否为论坛VIP,如果不是的话就跳向判断是否用户组为管理员
VIP和管理员,我选择管理员,你们自行考虑
004096D0 > \68 373F5200 push 00523F37 ; 管理员
004096D5 .FF75 E0 push dword ptr
004096D8 .E8 3C82FFFF call 00401919
004096DD .83C4 08 add esp, 0x8
004096E0 .83F8 00 cmp eax, 0x0
004096E3 .0F85 10040000 jnz 00409AF9 //这里NOP
妥妥的出现这个界面,功能方面不作测试,自行解决
程序链接来自帖子作者:http://pan.baidu.com/s/1jHCMuqy 密码: ebpz
虽然不玩PJ了,但是还是赞一下把 学习啦,感谢分享 这个好 学习了师傅 看看,支持一下 谢谢楼主分享 看看是怎么弄的 好东西呀。 学习了 谢谢分享