求教特殊E盾的破解思路
本帖最后由 zby03772015 于 2017-3-10 14:52 编辑好吧,我是觉得比较特殊吧。。。这个E盾特征码都不靠谱
直接查壳 看到是没有壳的,但是看区段就知道是vmp的了,这貌似就是vm头部的吧(小菜我也不清楚)
以下是检测od的,这个e盾不能直接retn,貌似是写在什么初始化里面了,登录的时候或是什么功能调用都会走这个部分
贴一部分吧
0040351B 55 push ebp ;OD检测区段(竟然和登录写一起了,不能直接retn)
0040351C|.8BEC mov ebp,esp
0040351E|.81EC 58000000 sub esp,0x58
00403524|.C745 FC 00000>mov ,0x0
0040352B|.68 08000000 push 0x8
00403530|.E8 40390500 call Crown.00456E75
00403535|.83C4 04 add esp,0x4
00403538|.8945 F8 mov ,eax
0040353B|.8BF8 mov edi,eax
0040353D|.BE 73A77600 mov esi,Crown.0076A773
00403542|.AD lods dword ptr ds:
00403543|.AB stos dword ptr es:
00403544|.AD lods dword ptr ds:
00403545|.AB stos dword ptr es:
00403546|.68 08000000 push 0x8
0040354B|.E8 25390500 call Crown.00456E75
00403550|.83C4 04 add esp,0x4
00403843|.FF75 E0 ||push
00403846|.B8 05000000 ||mov eax,0x5
0040384B|.E8 37360500 ||call Crown.00456E87
00403850|.3965 BC ||cmp ,esp
00403853|.74 0D ||je short Crown.00403862
00403855|.68 06000000 ||push 0x6
0040385A|.E8 22360500 ||call Crown.00456E81
0040385F|.83C4 04 ||add esp,0x4
00403862|>8945 DC ||mov ,eax
00403865|.837D E0 00 ||cmp ,0x0
00403869|.0F8E 11000000 ||jle Crown.00403880
0040386F|.837D DC 00 ||cmp ,0x0
00403873|.0F8E 07000000 ||jle Crown.00403880
00403879 B8 01000000 mov eax,0x1 ;过检测,这里改成0就过检测了
0040387E|.EB 05 ||jmp short Crown.00403885
00403880|>B8 00000000 ||mov eax,0x0
00403885|>85C0 ||test eax,eax
00403887|.0F84 67030000 ||je Crown.00403BF4
0040388D|.8B45 DC ||mov eax,
00403890|.33C9 ||xor ecx,ecx
00403892|.50 ||push eax
00403893|.8D45 D8 ||lea eax,
然后是
登录按钮 402991
貌似是登录返回call 42DDE7
合法貌似是在这里吧,特征很相似
00409D2B .55 push ebp ;合法
00409D2C .8BEC mov ebp,esp
00409D2E >81EC 20000000 sub esp,0x20
00409D34 .C745 FC 00000>mov dword ptr ss:,0x0
00409D3B .- E9 3D77DF00 jmp Crown.0120147D
貌似这样的吧,剩下的小菜是不会了,许多特征码都在这里不管甚用
这里是软件地址 http://pan.baidu.com/s/1slRhKKl
以前啥都 mov eax,1 retn了,小菜也是第一次遇见这样的
现在懵逼了,望各路大神能指点一二
xuge888 发表于 2017-3-10 15:02
没有什么难度的E盾
卧槽、、、 xuge888 发表于 2017-3-10 15:05
没必要惊讶 怎么了
{:5_184:}
{:5_191:} xuge888 发表于 2017-3-10 15:02
没有什么难度的E盾
我再去看看去