逆向一个CREAM[恶意的]
本帖最后由 1006442347 于 2020-2-25 21:23 编辑啊洗吧,我刚写完好像作者删帖子了,那剩下发给你们学习一下吧,
ε=(′ο`*)))唉
文件名:CrackMe(有格式化磁盘与检测OD与影子系统代码).rar
OK了=====================
新人说下流程
我看楼主说有检测OD,格盘啥的我没怂,虚拟机干他
我猜测有时钟检测 就用小软件移除进时器了,当然 我勾上了禁止关机重启{:5_184:}
然后我附加到软件
因为楼主说有格盘下方的数据窗口搜索 format(我记得是格盘代码)
数据窗口找了半天
不敢肯定,然后去搜字符串
楼主好狠,cdef格盘
双击第一个进去看看
发现有跳可以跳过去,咱们都改为JMP
并且下边不少,全都跳过去
改完后别着急,暗桩搞定了,咱们再去搜字符串
发现了这个东东
双击进去
有个跳转跳过了成功,走向了失败
正常人的思维就是 nop掉就行了
NO NO NO NO NO!
没发现有问题吗
正常来讲是这样的
-----------------------
JNZ *******
逆向成功
JMP *******
注册码不正确
----------------------
可是尼玛他不跳过失败,也就是说即提示成功也提示失败,是个坑
那咋办
但是我看到了这种东西
对!,这不就是易语言才有的结构吗!
咱们可以试试push窗体法
先搜索FF25
真的有啊卧槽,咱们记录一下左边的地址 0042D461
然后搜索push 10001
找到一个,再搜索下一个
第二个也是最后一个,一个神奇的事情发生了
{:5_117:}
看注释,这不就是成功的提示吗,我猜测这里应该是正确的窗口,咱们记录下来 0x520101FD
把jnz跳转改一下,改成JMP到FF25那边的地址也就是 0042D461
然后去FF25替换 窗口520101FD
至此直接保存,然后我想着拿着蓝屏插件再搞掉蓝屏,结果直接成功了
大哥大姐过年好,给个币吧{:5_118:}
想练习的去下载吧,记得去虚拟机调试
https://www.lanzouw.com/i9offtc
给你格盘cdef的
感谢观看{:5_193:}
154次观看,没想到沙发还在呢 感谢分享,学习一下 这个不错谢谢,看一下 谢谢!看起来就比较高大上 感谢楼主 大佬无敌 谢谢分享