装x法则之手脱Telock0.98与校验三宝对抗
本教程由学逆向Thx赞助播出(“哎呀我摔倒了要你们评分Thx给我才能起来{:5_187:}”)悬赏帖:https://www.52hb.com/thread-30694-1-1.html
逆向前言:真的半个月都在混,,,od都没动过,,嗨呀今天给大家补上一些很装x的小方法,这个悬赏帖有大腿搞定了所以不敢再玩了,就教一些装x大法
逆向正文:
今天,重点教手脱(新思路手脱,不用十大脱壳法),对抗进程名校验,文件校验与删除补丁文件(api hook)
像什么逆向之类的,就免了好吧?其实讲道理这个东西我主要想对抗的是删除补丁,我想了很多很多思路,发现有两个方法比较简单,,
然后等会儿会跟大家说,,先看程序,,一开始讲道理我是没想脱壳的,我以为是很强的壳
先是查壳,peid
然后寻找了一份资料,,是某blog的,我正是借助他这个方法成功到达oep,
如果你认为是我演示他的做法,那你就错了,因为我不擅长脱壳,但是基本的脱壳方法我还是懂的,但是都不记得了
上一次看脱壳视频,大概还是三年前吧,我记得看的是逻辑人生论坛的fywy还是狂刀的,现在那个论坛gg了
我印象比较深的,还是看他的全部脱壳方法,就常用的全部演示了,但是我不记得了,,,
然后我发现有一些帖子用的什么内存镜像法,貌似都不了oep,所以这个最后一次异常法我用过是能到达oep的
其他方法大家自己去试验,然后我这里演示一下我发现的方法,比最后一次异常法快
操作方法:
首先是载入OD,记住不要设置od什么,忽略所有异常(一般都是忽略过的),因为最后一次异常法是要取消忽略异常,我这边是直接忽略所有
如果你用过了这个方法,记得改回去
接着呢,直接F9完全运行起来程序,不要设置任何断点,完全运行看到程序界面即可,
这时候对这个加壳后的oep,也就是我们载入未脱壳的程序的oep,进行两次回车操作,按两下回车
第一次到达这
再按一次就到达了oep
很神奇对吧?我也不知道为什么,就突然发现的,,,
这时候,我们记下这个oep地址为00404240
接着,重新载入这个程序,不要运行了,我们得想办法让他停在这个程序的真实OEP
直接输入OEP地址到达这个OEP,很显然这时候oep还没有被解码,所以是混乱的,但是我们不管,我们直接下内存写入断点
我这边是设置过了一次断点,所以下面有一个删除内存断点,如果没有设置的话是不会有这个选项的
这时候设置完毕以后,直接F9按一次**** Hidden Message *****
前排学习一下经验{:5_194:} Shy的教程不得不说真是越来越骚气了! 学习下,谢谢分享经验! 谢谢了支持下,这个脱壳还是很简单的。没想到然你给写了呵呵。 哈哈,看的有点头晕,你最后那个hook怎么用啊我都忘了。我也是搞了半天才搞定,文件删除暗桩位置我已经找到了,004DDB32 E8 19170000 call PDF2Word.004DF250 直接nop掉,然后搜索初始化失败004E0415 ,把这个jmp掉就不会删除目录下的exe和dll文件了。这软件其实挺好玩的。我也是参照悬赏答案https://www.52hb.com/thread-30706-1-1.html,当然他只是教了一个方法,这个方法确实很棒。我把所有能改的全改了。我现在的补丁,原程序不用脱壳,不会弹出注册窗口,也不会删除文件。显示试用版,随便注册后显示正式版,但是这个只是安慰,即使不注册也可以使用功能。这软件暗桩好多。现在搞不定重启验证这里。注册后显示正版,但是重新打开后还是试用版。希望你能搞定这个地方。这软件绝对有一个关键地方判断注册的地方没找到。所以我的补丁修改了10处。水平太次不行啊。我把补丁文件放上来 学习了!!感谢楼主的分享 感谢分享,学习一下 大牛的帖子必须要看。哈哈 楼主辛苦了 受益良多 谢谢