CM V3.0 另类追码
没调用任何模块 相较于V2.0加强部分验证流程以及检测!
无退出无花无任何暗桩恶意代码 用了EXUI所以加了UPX3.95压缩程序体积不影响实际调试
已测试运行环境WIN7 32 64位
追出key且进入功能窗口三个标签显示红色字体就算成功!其中第一个标签为两个“假”字,第二第三个标签则有很明显的提示。
CM分析链接:https://s.threatbook.cn/report/file/37d172c2f92e3e5d791db5763bb99c65bf97ecce9f53668114998008a8f8e164/?env=win7_sp1_enx86_office2013
本帖最后由 1643510535 于 2020-7-12 02:18 编辑
这玩意有多处调用检测 OD下输入码数组错误 正常打开输入没问题 好恶心啊 新手玩不来
按钮事件单步跟一个文本字符串都不见
我猜应该是检测到什么或第一次输入的码不对就把数据全部给清空了
爆破还差不多 简单多了 但是进入第二窗口没有出现楼主说的三个红色标签 应该是没成功
下面附上我的成果 请各位老师接力分析 记得@我围观下{:6_207:}
00401BFC 55 push ebp '按钮事件
0040111E 55 push ebp ' 检测1
004019DD 55 push ebp ' 检测2
004077B3 55 push ebp ’窗口
00401BFC /E9 B25B0000 jmp CM_V3_0.004077B3 ; 按钮事件跳转窗口
00401C01 |C3 retn
00401C02 |90 nop
00401C03 |90 nop
00401C04 |90 nop
0040111E B8 00000000 mov eax,0x0 ; 检测1
00401123 C3 retn
00401124 90 nop
00401125 90 nop
00401126 90 nop
004019DD B8 00000000 mov eax,0x0 ; 检测2
004019E2 C3 retn
004019E3 90 nop
004019E4 90 nop
004019E5 90 nop
本帖最后由 1643510535 于 2020-7-13 10:57 编辑
004013D1 B8 DCDB6B00 mov eax,CM_V3_0.006BDBDC
006BDBDC+8 = 006BDBE4‘90 94 42 25 94 B4 52 2D 98 D4 6E 33 97 AC 5E 2B 93 8C 4E 23
00401416 C703 679B3643 mov dword ptr ds:,0x43369B67‘1127652199
找出这两组加密的数据
一组字节集加密 一组整数型加密 相信应该是最终的码下面不会搞了{:5_184:} 1643510535 发表于 2020-7-13 10:55
004013D1 B8 DCDB6B00 mov eax,CM_V3_0.006BDBDC
006BDBDC+8 = 006BDBE4‘90 94 42 25 94 B4 5 ...
厉害呀,两个猜想都对了,但还有一步,要走验证流程! 求转移401000例子
页:
[1]