某加壳软件的闪退(附自己失败的分析)
截图太麻烦了,我文字描述清楚吧:前提1.这个软件加的是Themida 1.8.x.x -> Oreans Technologies *壳,用LCT大神的脚本能脱,但是脱壳后无法运行。我尝试其他脚本或者教程脱壳,均已失败告终。
2.软件只能在指定的机器运行(具体机器码未知),所谓的运行,是指打开后不闪退。
3.XP或者Win2003打开后,可以看到软件闪退,界面一闪而过。
4.下BP ExitProcess无法拦截,下BP ShowWindow、或者CreateFileW 等其他断点,可以拦截,返回到用户代码后,由于加壳,关键处被VM了,无法找到具体分析处(我已经跟踪了很久了)。
寻求分析思路与指导,谢谢。
附上附件链接,链接:https://share.weiyun.com/HlUskp3s 密码:9dhq87
解压包密码:1
我的初步思路是,成功脱壳后,下断点分析拦截会方便得多,但目前应该没有人能成功脱壳吧。
成功脱壳后,能够打开,并且闪退。
dowdndx 发表于 2021-6-21 20:17
我的初步思路是,成功脱壳后,下断点分析拦截会方便得多,但目前应该没有人能成功脱壳吧。
成功脱壳后, ...
能人异士多得很,别下这么早的结论。看到你说的话, 瞬间就没了兴趣。 本帖最后由 0×Ret 于 2021-6-22 12:57 编辑
复制这段内容后打开百度网盘手机App,操作更方便哦
本帖最后由 0×Ret 于 2021-6-22 12:59 编辑
不想讨论这些,问题。 0×Ret 发表于 2021-6-21 23:04
正版的 软件都闪退 脱了不是一样的闪退吗? 脱了壳不闪退 有鬼了。等下等恒大审核了我回复的 自己看看吧。 ...
看样子是崩溃 本帖最后由 0×Ret 于 2021-6-22 13:00 编辑
byh3025 发表于 2021-6-22 09:46
看样子是崩溃
我理解能力太菜了。九年义务教育白上了
0×Ret 发表于 2021-6-22 10:22
他问的这问题应该是想逆向。我理解能力太菜了。九年义务教育白上了
1.这个软件加的是Themida 1.8.x.x...
首先,软件需要逆向。
在正版机器上能够直接运行,并且运行后不闪退;在盗版机器上能够运行,之后瞬间闪退。(xp、win2003)
需要解决的是闪退的问题。
逆向成功就是打开后能够运行,并且不闪退。
要逆向该软件,无非是带壳打补丁或者脱壳修改。
1.带壳打补丁情况,由于软件加壳,关键处被VM了,我下Exit断点无法断下、或者create断点能断下,但是找不到判断闪退的关键处。只要找到关键处修改,打补丁就是后话。
2.脱壳后逆向修改情况。软件不脱壳前,能够打开运行,之后瞬间闪退。
用lct的脚本脱后,得到后缀是_DP.exe的软件。脱壳后直接就运行不了了,还有啥闪退?
或者说脱壳后能运行一会再闪退,算是脱壳成功了。至于之后再找关键处逆向修改……如果能成功脱壳,之后逆向相对容易一些。
最后,那个过注册我也会,那个是适用于出现对话框形式的硬件锁。
问题是你看到这个有出现硬件码的对话框吗?而且过注册可以od里手动,或者lct的脚本改一个字节(把bypass改成01),之后脱壳。
对于2.4高版本,可以查找 ,
cmp [r32],r32
pushfd
过注册。这个在tuts论坛,lct已经说过了。 0×Ret 发表于 2021-6-22 10:22
他问的这问题应该是想逆向。我理解能力太菜了。九年义务教育白上了
1.这个软件加的是Themida 1.8.x.x...
这个只有在正版机器才能运行,而且正版机器不需要regkey.dat。单独一个文件就能运行。 0×Ret 发表于 2021-6-22 10:22
他问的这问题应该是想逆向。我理解能力太菜了。九年义务教育白上了
1.这个软件加的是Themida 1.8.x.x...
目前需要解决的是闪退的问题。
分析方法有:打补丁 或者 脱壳后(指的是成功脱壳的情况)修改。
如果找到关键处,打补丁自然可行;如果能成功脱壳,之后分析与修改也相对容易。
个人认为,这个与过注册(无论是tmd2.1以下版本或者高版本)关联不是很密切吧?
页:
[1]
2