一款红包插件,小生初次尝试乏力,求指导。
本帖最后由 雨辰ゞ 于 2017-7-29 22:58 编辑最近实在是有点无聊,一款红包插件倒是勾起了我得兴趣,所以决定搞掉它。
但是小生实在是有点不自量力,逆向过程中就遇到了很多麻烦,望大神们指教呀。~
1.载入ExeinfoPe查壳,查不到是什么壳,小生初步判断这个肯定是有壳得。
2.载入PEiD查壳也是一样查不到。
3.载入OD后就直接看到了push ebp,但是小生判断这肯定不是真的,于是想进一步找线索。
4.载入OD后使用中文搜索,能看到少部分正常中文,大部分乱码。这更加确认了是有壳得,要不就是字符加密了?
5.于是小生尝试用学到的教程中的一些简单脱壳方法开始尝试。
尝试方法:
①单步跟踪法
跟踪了很久来到这个地方,发现有多处push ebp,于是小生就开始懵逼了,怀疑自己还是没跟踪到位,或者是跳远了,在此处进行脱壳后的软件拿去查壳还是跟上图一样,于是小生放弃开始尝试另外的方法。
②ESP定律法
由于载入OD就出现push ebp,单步后call处并没有变化,于是又放弃了此方法。
③内存镜象法
先断点.rsrc 运行一次后再断点地址00401000,软件就自动运行了,于是又放弃了此方法。
④直达OEP法
搜索popad,由于搜索结果太多,小生也不能判断哪里才是正确的OEP,于是又放弃了,随便截了一张图。
⑤模拟跟踪法
目前小生只是采取了这些方法,实在是无能为力,希望各位大神赐教,给点思路~
最后附上软件希望大神们指导指导:链接:https://share.weiyun.com/679af601f51a7b5318db44839a0a34bd (密码:EoPV)
区段明显被改过,脱壳的位置在系统领空也不对。 方便的话把软件发上来吧 本帖最后由 tony2526 于 2017-7-30 07:21 编辑
易雷博验证,不知道跳出这个错误是什么鬼
看楼主列出这么多图,只能是判断没有认真的学习以下几个方法。建议新手先把基本工搞扎实 tony2526 发表于 2017-7-30 04:51
易雷博验证,不知道跳出这个错误是什么鬼
我也不清楚是什么情况,所以来请教大家。 治愈先生 发表于 2017-7-30 08:57
看楼主列出这么多图,只能是判断没有认真的学习以下几个方法。建议新手先把基本工搞扎实
是呀,看来我还得从基础开始呢,一步步来。 提取就行了,又不是自己加在源码上的东西,分分钟就搞了 珈蓝夜雨 发表于 2017-7-30 09:19
提取就行了,又不是自己加在源码上的东西,分分钟就搞了
我晕,我搞了半天都不行- -大牛求思路 珈蓝夜雨 发表于 2017-7-30 09:19
提取就行了,又不是自己加在源码上的东西,分分钟就搞了
你还在?好久不见