海讯产品TMD壳爆破
今天给大家带来的一款海讯的软件,有TMD保护壳 PEID查区段是不显示TMD 调试过程会有检测的。 我们进入正题!!!这款软件视乎是一款加密狗
提示未插入加密狗,我点确定后软件就会自动关闭。经过我几番调试跟踪,这个退出不是通常的退出函数EixtProcess。这个软件一进来就会有一个信息窗口提示,只要我们店了确定程序就会退出,那我们的思路可否这样下一个Messgebox断点然后往下跟,一直跟到看见程序退出,然后我们干掉退出就应该可以正常使用软件了。接下来,来试试,设置MessgeboxEx成功断下,我们一直F8单步向下执行,这个软件验证视乎再自身进程里面,但是调用退出确是在这个System.Windows.Forms.ni.dllDLL中这个DLL我百度过视乎再系统但是在C盘中找不到这个DLL,一直走到
这里图中箭头标出的2个跳转都要跳,中间那个CALL就是结束CALL,我们再来看看那5D5788D8 0BC6 or eax,esi 这行代码用了或运算来判断JNZ是否跳,或运算只有2个数值都为0结果才能为0,而这2个寄存器现在的值正好都是0所以他是不跳往下执行退出的。我们来看看这个eax和esi是哪里来的,eax是上面ebp-0x28堆栈地址内存中的值是为0
,我们再往上找找esi的来源
可以看见上面有一个xor esi,esi异或运算将esi清0,下面那个CALL也没有对esi赋值,这里我就不截图了就是开头push esi进栈,尾部又pop esi出来,从这里可以看出应该eax才是变量来判断是否退出(前面应该有psuh之类将0压人)。我们来看看第2个跳转 test eax,eax只有eax为0 JE才能跳
,
我们往前面那个CALL看看
很明显正确的执行流程肯定要过xor eax,eax 将eax清0 **** Hidden Message *****
好,就说到这里专心考试了!
这种强壳软件不容易高啊 很久没出教程了 出个看看大家热情度多少 {:5_184:}感谢大佬 排版有点乱大家将就点吧 有3张图没用到,你看应该插到哪里,我想给你排版,但是不知道怎么插入。还有好像教程跳过了些什么,开始说有弹窗,点确定就关闭。然后直接就到关键位置了{:5_117:} Shark恒 发表于 2017-7-14 11:51
有3张图没用到,你看应该插到哪里,我想给你排版,但是不知道怎么插入。还有好像教程跳过了些什么,开始说 ...
我来看看吧{:5_116:} 来学习感谢大佬 弄好了服了 不发帖现在都不知道咋发了 青葉、 发表于 2017-7-14 12:21
来学习感谢大佬
不评分下 {:5_116:}