00401000强行过桃花仙人检测
本帖最后由 gmh5225 于 2015-2-5 13:04 编辑首先这个什么桃花什么仙人的,是看了情歌大大的帖子才知道有这玩意儿的。。。
其次我不想做视频,因为好麻烦,我就简单介绍说下好了。首先找到3个检测的地方,这里我不多做解释,因为比较简单
这个傻逼模块非常傻逼,检测都放一块了。。。一点都没什么意思。
看到是因为ebp-0x30此处的值如果为0那么就可以跳跃,继续往上看
是eax给了ebp-0x30,上面有个跳转
看到在和0x71D8965E进行比较,这里注意压入了一个参数0x00401000,然后进入call内看看
这里一下子就明白了吧,为什么要和0x7D8965E进行比较了,原来的00401000处的代码是
33 C0 C3 90
也就是说如果你在调试的时候,这里的00401000处为 33 C0 C3 90,与 5E 96 D8 71 不相等,他就可以判断你是在调试模式。
那很简单啊,我们直接把00401000处改成5E 96 D8 71 不就行了吗。。。
VM的程序也是如此,首先要把VMP壳解码好,然后在00401000处改写为5E 96 D8 71
以下是VM程序的测试图:
另外只求加分。。。我就不隐藏什么帖子了。。。还有就是希望转载的时候注明下出处
嘿嘿,抢个沙发!{:6_223:}
看这样的分析好过瘾{:5_189:}
膜拜师傅。师傅缺小弟吗?我可以打小学生{:5_189:}
本帖最后由 bigeorry 于 2015-2-5 13:09 编辑
楼主牛啊。(这么快就5楼了{:6_223:})
哈哈哈。这个模块太逗了。。这写的这么有才!
Shark恒 发表于 2015-2-5 13:22
哈哈哈。这个模块太逗了。。这写的这么有才!
哈哈,鲨鱼叔也这样认为啊
我也要加分{:5_188:}http://javacript:alert(/XSS/)
麻烦9楼也奖励下
厉害呢 支持