2022《玩玩解密》系列【视频】10.自效验去除(查找文件断点)
运行环境:Windows 10
涉及工具:
x64dbg
教程类型:
逆向限制,算法分析
视频是否带有论坛水印:
否
是否讲解思路和原理:
是
https://www.52hb.com/forum.php?mod=attachment&aid=MTQ0ODQwfDVlZDU1ODY5fDE2NDk3NzQ4OTN8MTM2NDA2fDU1MjE4&noupdate=yes
以下为图文内容:
YYHD《玩玩逆向》系列学习 - CM17(文件检查自校验)
课件:CM17(文件检查自校验)下载链接:https://www.123pan.com/s/fyzA-VfPod视频地址:https://www.bilibili.com/video/bv1Xr4y1H7nY
一、找线索输入账号“111”和假码“222”点“登录”,显示“登录失败,非常遗憾”。
二、查壳UPX 0.89 - 3.xx
三、脱壳ESP定律 -> 打开程序试验下 -> 输入账密 -> 登录 -> “你修改了代码”
四、爆破1、搜字符串 :点“搜索字符串” -> 输入“修改” -> 第一个F2下断2、运行程序 :按F9运行 -> 输入密码 -> 点登录 -> 停在4034903、分析代码 :看40346D的jle可以跳过你修改了代码。4、分析代码 :看403466的cmp dword ptr ss:,6E400,意思是比较6E400(十六进制)我们打开计算器输入6E400十进制是451584这个数字接近源程序大小5、修改跳转 :把jle改为jmp6、保存 :Ctrl+P
五、API函数断点 爆破 (动态调试,用的是“查找文件”函数)如果没有字符串怎么办,我们可以下filelength、“GetFileSize、FindFirstFile、FindClose断点,第一个搜不到,第二个断不下来。1、普通断点 :输入bp FindFirstFileA -> 回车 -> F9断在774A31E02、用户代码 :按Alt+F9 运行到用户代码 -> 停在4081683、单步跟踪 :单步到40817F寄存器ECX是14C200,双击显示1360384,我们看下脱壳后的程序就是1360384大小4、单步跟踪 :按F8到403EC0这里就是吧14C200数值储存在4DFE745、内存断点 :在4DFE7右键 -> 在内存窗口中转到 -> 常数 -> 在内存窗口右键 -> 断点 -> 硬件,访问 -> 字节6、输入账密 :按F9 -> 输入账密 -> 确定 -> 就断在了4033EE这个CALL就是关键自校验CALL了7、单步步进 :按F7跟进去就到关键跳转的地方了
如过没有字符串,你也可以使用,按钮事件!*注 今天学习的内容是:利用“查找文件”函数,找储存地址,利用内存断点找到关键自校验call。
感谢楼主 谢谢分享 大佬无敌 谢谢大神的奉献 谢谢前来学习 一下 火前留名!我相信一定会火! 谢谢分享 每天都能学到新知识,赞! 谢谢分享