zhan_z 发表于 2020-7-14 15:59

对于这种搜不到字符串且不确定是啥壳的应该怎么爆破?应该从哪下手?


哈勃系统分析:https://habo.qq.com/file/showdetail?pk=ADcGYl1sB28IPVs5U2E%3D






这哈勃显示UPolyX v0.5 ? UPX的壳?

然后又百度了一下这两个系统关键API ,反调试的
NtQueryInformationProcess函数是一个未公开的API,它的第二个参数可以用来查询进程的调试端口。如果进程被调试,那么返回的端口值会是-1,否则就是其他的值。
NtSNetInformationThread方法也是使用Windows的一个未公开函数的方法,你可以在当前线程里调用NtSetInformationThread,调用这个函数时,如果在第二个参数里指定0x11这个值(意思是ThreadHideFromDebugger),等于告诉操作系统,将所有附加的调试器统统取消掉。

然后查壳,又是VMP又是ASP的,这是在套娃?有点懵。。


试着拦了一下封包,指向的地址是自建的?而且后边的调用码每次点击登录都会随机


然后401000,搜不到有用的字符串

















然后试一下内存搜索只能搜到界面的标签,弹窗的内容搜不到


请各位老师们给分析一下,这种案例应该怎么去搞,应该从哪下手?
没有头绪,请各位老师们指点一下思路

蓝奏云:https://wwe.lanzouw.com/ipSutelb6sf




故林 发表于 2020-7-14 16:13

VMP壳代码上VM了。 试试按钮事件爆破,最好抓包看是什么验证{:5_191:},还有我也是小白了,以上都上瞎说的{:5_185:}

大彩笔 发表于 2020-7-14 18:33

单子跑这里来了。30HB

zhan_z 发表于 2020-7-14 18:50

您真聪明,您是觉得这论坛里所有的求助帖都是单子吗?不想回答你可以不回答,这么灌水算什么

大彩笔 发表于 2020-7-14 19:12

本帖最后由 大彩笔 于 2020-7-14 19:17 编辑

继续发表你的看法!      https://www.52hb.com/thread-48161-1-1.html 论坛帖子 你继续

zhan_z 发表于 2020-7-14 20:23

大彩笔 发表于 2020-7-14 19:12
继续发表你的看法!      https://www.52hb.com/thread-48161-1-1.html 论坛帖子 你继续

所以您是在做单子?所以又关我什么事呢

aa2486717795 发表于 2020-7-15 10:01

vmp壳。
如果不确定是什么验证就不要山寨了,什么简单什么来
试试下事件断点爆破,如果没有ff55fc5f5e应该就是被VM了。试试去断点支持库哪

zhan_z 发表于 2020-7-15 13:16

aa2486717795 发表于 2020-7-15 10:01
vmp壳。
如果不确定是什么验证就不要山寨了,什么简单什么来
试试下事件断点爆破,如果没有ff55fc5f5e应 ...

谢谢大佬,我试下

大彩笔 发表于 2020-7-15 13:29

zhan_z 发表于 2020-7-14 20:23
所以您是在做单子?所以又关我什么事呢

不是说不是单子吗?不是说我灌水吗?举报啊!人家都发单愿意花4K去逆向,你就想花30HB嫖?请问你的分析过程呢?就一个查壳? 一个抓包?然后丢OD一张图?

zhan_z 发表于 2020-7-15 14:00

大彩笔 发表于 2020-7-15 13:29
不是说不是单子吗?不是说我灌水吗?举报啊!人家都发单愿意花4K去逆向,你就想花30HB嫖?请问你的分析过 ...

单子怪,您又来了,您是觉得能问出这种小白问题的水平就可以接单吗?而且我只是说求思路,没说求PJ,所以小白求思路都不行吗?那求版主大大删帖吧,是我的错,我没看好版规,对不起!还有我也不是接单,也请您收回您的脏水
页: [1]
查看完整版本: 对于这种搜不到字符串且不确定是啥壳的应该怎么爆破?应该从哪下手?