常量赋值法--搞定加壳程序
有矛就有盾,逆向不费劲。{:6_225:}废话不多说,直入主题:
今天带来的是一个重启验证--带壳程序(程序名:LogSee.exe){:6_215:}
首先查壳,发现是TMD壳{:6_224:}
看看程序,中规中矩,先来个字符串搜索。
载入OD,发现乱码,明显是带壳的,不过今天说的不是脱壳,穿着马甲,一样搞定他{:6_201:}
按Ctrl+G ,或者点击红色箭头所指示的快捷按钮,输入401000,来到程序段,然后右击---中文搜索引擎---智能搜索。
搜索字符串【注册】
发现了注册成功的提示,我们直接双击,过去看看{:5_117:}
如图所示,因为:cmp dword ptr ds:47BA30],ebx 这个比较的结果,影响了跳转,导致了跳过成功,我们在这个代码处下F2断点
输入假码{假注册码},点击注册,发现程序断下来了,我们看到ds:47BA30]=0,ebx=0。cmp是比较的意思,0和0比较,显然是相等的,所以影响了Z标志位,导致了je跳转成立。关键问题就在于ds:47BA30]这个位置里面的值,如果不等于0,那么程序就走向了成功。
**** Hidden Message *****
然后我们就可以打补丁了,因为是带壳的程序,所以没办法保存。为了验证我们的修改,是否能成功搞定程序,我们重新载入程序,F9运行程序,查看断点,全部激活断点,程序断在关键call处,F7进call ,做如上修改。
然后F9运行程序,我们发现,成功了{:6_209:}
我们的修改是正确的,可以打补丁了。
对于这个程序,已经不需要打补丁了,因为注册成功,程序已经把真正的注册码,写到注册表里了。
写图文教程不容易,费时费力,大家给点赞助,支持一下吧{:5_188:} 说实话,内容不新颖,但是讲解很细致。
就冲这个“细致”,就能帮到很多人,就可以让很多新人理解的更透彻,上精华~
代表大家感谢你细致的教程!
跟楼主学习常量赋值 好好学习,天天向上 记得评分谢谢楼主呦,评分不扣你的分 Shark恒 发表于 2017-7-11 00:39
说实话,内容不新颖,但是讲解很细致。
就冲这个“细致”,就能帮到很多人,就可以让很多新人理解的更透 ...
谢谢恒大的精华,一直在看你的视频。 学习学习! 感谢楼主的教程学习一下 楼主你的表情包 利用的好好i