某辅Z带VMP强克,E盾网络验证,反调试,自动退出暗装,作者挑衅,新手小白求助大牛!
本帖最后由 o0天涯浪子0o 于 2018-9-21 16:00 编辑第一次发帖没有人回复,快沉了,可能软件有点难搞,于是换了一个不带壳的求指导老规矩先查毒查壳老规矩,上链接:https://www.lanzouw.com/u/sadan2003E盾特征码操作,登陆call,合法,推出,暗装,判断暗装到期时间,崩溃,非法工具,都做完了,发现进不了功能界面!@3某 @8某
push 20 ‘登陆call
改
mov eax,1
ret 18
改完后立即窗口会出现一个call跟过去段首ret 10
sub esp,84‘合法call
改
leave
ret
或
mov esp,ebp
pop ebp
ret
push 60 ‘结束程序
改
ret
sub esp,0xa8 ‘算法
改
leave
ret
或
mov esp,ebp
pop ebp
ret
结束程序
55 8B EC 81 EC 1C 00 00 00 68 60 00 00 00
蓝屏
55 8B EC 81 EC 2C 00 00 00 C7 45 FC 00 00 00 00 68 0C 00 00 00
改
mov eax,0
mov ebp,esi
pop ebp
ret
崩溃
55 8B EC 81 EC 2C 00 00 00
判断暗装到期时间
83 C4 04 83 7D ?? 01 0F 8D
非法工具
55 8B EC 81 EC 08 00 00 00 C7 45 FC 00 00 00 00
登陆call
55 8B EC 81 EC 1C 00 00 00
合法call
55 8B EC 81 EC 20 00 00 00 C7 45 FC 00 00 00 00
结束自身
55 8B EC 81 EC 1C 00 00 00 68 60 00 00 00
(关键)登录CALL特征码:Ctrl+F输入push 20就是也可以push 8然后查找下一个几次就可以到达。
(关键)合法CALL特征码:Ctrl+S输入sub esp,84就是 也可以push 8然后查找下一个几次就可以到达
(偶尔调用)算法特征;Ctrl+S输入sub esp,0xA8就是 也可以push 8然后查找下一个几次就可以到达
(暗装)结束自身特征码:Ctrl+F输入push 60就是
push 20登录赋值写法 mov eax,1- ret 18 账号或密码错误进去的登录赋值写法 mov eax,1 - ret 10
合法堆栈平衡写法 leave - ret - nop - nop 还有就是mov esp,ebp- pop ebp - ret
算法堆栈平衡写法 leave - ret - nop - nop 结束自身段首ret返回主程序即可
话说怎么脱的壳 挥霍不了的青春 发表于 2018-9-20 15:03
话说怎么脱的壳
虚拟机下咱们论坛带的PEID看恒大的教程脱的壳,脱完后打不开,应该是需要修复,因为比源文件大了很多 更新了9.20B,已经放上去了,新加入了反虚拟机,不让人活了现在 自己的帖子自己顶,还是没有大神帮我弄一下吗?是不是太难了,那我重新换一个搞 帖子重新编辑了一下,标题换不了了,主要看内容吧,大牛们见谅 兄弟加油,活到老学到老,没人帮忙只能自学了,我是一个正在学习的 居然放密码保护。
页:
[1]