天盾+UPX,大佬请进
这个软件是天盾+UPX壳。天盾容易解决,就是里面的一个无限弹窗已过期,找不到关键点。接下来请各位老师听我慢慢将分析过程说出来。首先查壳就不多说了。这一次我采用的是单步跟踪。
第一步https://www.52hb.com/forum.php?mod=image&aid=126200&size=300x300&key=b8453ec3a80fe3ee&nocache=yes&type=fixnone
第二步https://www.52hb.com/forum.php?mod=image&aid=126201&size=300x300&key=763539a52d895dd2&nocache=yes&type=fixnone
第三步https://www.52hb.com/forum.php?mod=image&aid=126202&size=300x300&key=7188ec2bd15edaab&nocache=yes&type=fixnone
第四步https://www.52hb.com/forum.php?mod=image&aid=126203&size=300x300&key=c7723cb5a868648c&nocache=yes&type=fixnone
第五步https://www.52hb.com/forum.php?mod=image&aid=126204&size=300x300&key=0dbcb7f81e29a240&nocache=yes&type=fixnone
我不知道为啥我图片这么小。接下来就是大佬最爱的难受云:https://www.lanzoux.com/i2CUYfik9if
用 MessageBoxA断点试试 很明显是时钟搞的鬼 把时钟干掉试试 1785220186 发表于 2020-8-11 17:27
用 MessageBoxA断点试试
来一个图片教程可好 米开朗琪罗 发表于 2020-8-11 17:36
很明显是时钟搞的鬼 把时钟干掉试试
来一个图片教程可好 软件发一下 0045E48B .55 push ebp
这里下断点看看 把时钟干掉之后还有个黑屏
0045E4C6|. /0F85 91000000 jnz csrss_-_.0045E55D
0045E5E6|. /0F85 45000000 jnz csrss_-_.0045E631
00448CCC|. /0F84 42000000 je csrss_-_.00448D14
00448D63|. /0F8D 42000000 jge csrss_-_.00448DAB
00450E8F|. /0F85 7C000000 jnz csrss_-_.00450F11
00450F82|. /0F85 53000000 jnz csrss_-_.00450FDB
这些地方都jmp 就行了 记得FF25 退出ret
DXF? 估计你就破了个登陆器而已, 如果没猜错的话驱动或者是dll 还有一层验证