可可验证求分析
看见有人发这个东西,于是想尝试练手一下,看样子是可可验证所以我按照恒大的教程来实践
先查壳,VMProtect v.2.07 - X.X
载入OD F9运行 ctrl+G 00401000
搜索字符串eno
00407FC7 837D EC 01 cmp dword ptr ss:,0x1
0040807D 837D F0 01 cmp dword ptr ss:,0x1
bp ExitProcess
0044D250 C3 retn
因为是vmp壳,所修改数据没有办法直接保存,所以我直接打补丁
运气起来看看,点登陆进去了……然后点启动FZ的时候却弹出错误提示
于是我用OD附加进程,下信息框弹出断点
再f9运行程序就崩溃了……
不知道这个怎么搞。附上软件http://xiao123.qiniudn.com/abc.rar
(PS:电脑我已经cdef全盘格式化了,系统也重装了,附件应该不会有病毒,请放心)
本帖最后由 蓝天利剑 于 2015-1-3 17:01 编辑
不行的话我记得还有push方法 论坛搜的到可以去试试
是不是跟你第三张图有关系 看着好像retn关键调用一样
520Kelly 发表于 2015-1-3 17:09
是不是跟你第三张图有关系 看着好像retn关键调用一样
额,我这是照恒大的教程,下退出点段,然后反汇编窗口跟随,段首retn让它不退出,并没有retn关键调用呀
蓝天利剑 发表于 2015-1-3 16:58
不行的话我记得还有push方法 论坛搜的到可以去试试
push后直接崩溃了
程序领空搜索 FF25 去掉退出 怎么看retn 好像retn错了 你截图又不大点
风清扬 发表于 2015-1-3 20:13
程序领空搜索 FF25 去掉退出 怎么看retn 好像retn错了 你截图又不大点
请放心调试,附件没有问题
下标越界了,558BEC8B4508508B4D088B148DB8929B0052 特征码 下断,断下后返回
找jl或者jle之类的跳转如果vm了的话那你就不能用这个方法去找暗装了 换个可可爆破方法
Crook 发表于 2015-1-4 22:41
下标越界了,558BEC8B4508508B4D088B148DB8929B0052 特征码 下断,断下后返回
找jl或者jle之类的跳转如果v ...
中间代码vm了特征码找不到位置,换个可可爆破方法怎么换
wdrvk 发表于 2015-1-4 23:33
中间代码vm了特征码找不到位置,换个可可爆破方法怎么换
正版补码 或者是55 8B EC 81 EC 94 00 00 00段首retn
然后在干掉退出
页:
[1]