暂停法爆破某一软件
本帖最后由 hktkzyz 于 2015-3-4 15:20 编辑前言:
1、用的是暂停法,不知能不能分类写“原创解密”,但是又找不到其他合适的分类。
如果用原创不合适,希望不要算违规,管理提出,我会改正。
2、纯新手,现学现用,师兄老师们勿笑。
3、不希望影响到作者,所以不上传附件,也不显示软件名称。
过程:
1、软件界面:
应该是要有提供的交易号和用户名,貌似可能不存在算法,所以干脆爆破。
2、经查无壳,od载入。字符串查找“信息有误”,无果。
数据窗口中,查找二进制字串,找到了,可以篡改字串,但是不知怎么转到反汇编?
(以前我记得查找参考,可以转到反汇编区,但是这个参考后是空的)
(这里还请老师指教,如何从数据区转到反汇编区?)
3、既然这样,用暂停法,od载入,运行后,登陆,弹出“信息有误”。暂停。Alt+K,显示调用堆栈。
看到了消息框,双击转到调用。下断。重载。运行。登陆。断下了:
好吧,是系统领空,而且没有跳转,一看就是一个子call。F8到call,弹出“信息有误”,按确定按钮关掉。继续F8。
跳出这段后,来到下一段:
还是系统领空,而且明显在段尾,并且没有右箭头。明显又是一个子call,F8继续往出跳吧。
(右箭头到底怎么称呼好?下箭头是“跳转”,右箭头是跳转到的地方,之前一个帖子我说成“回跳”,明显不对。这里暂称为“跳入”吧。希望老师们给一个更容易、更常用的称呼。呵呵。)
哈哈,出来了,到程序下了。而且有各种跳转呦,因为接近段尾,我还是从下往上找“跳入”(右箭头)。
晕,居然没有一个跳入是包含这个call的。接着F8,跳出此段吧。
跳出来了,在第二列(请问这列怎么称呼呀?二进制列?)怎么没有分析后那个大括号呀?请老师们指教。
也不知道从下找好找,还是从上找好找,蒙一蒙吧,从下找“跳入”,果然,第三个右箭头就是。
右键--转到--来自je。。。。下断。重载。运行。登陆。正好在je这里断下。
跳转为灰色。所以,,,jmp掉。F9运行。(如果之前有别的断点,可能被断下,不用管,继续F9)
完毕。
如果要跳过新版本提示,和之前跳登陆是一样样的。当然,最后我打开软件了,因为是旧版本,也不能正常使用了。
貌似不够详细哦。。
pklong007 发表于 2015-3-4 14:55
貌似不够详细哦。。
还没写完呢,刚才重启电脑了,开着vm,卡死了。
过来学习下楼主的教程!
走走跳跳~ 一般能用暂停法的,大部分也可以用字符串搜
{:5_189:}膜拜大牛
很多软件都加密过,暂停法截取不到
学习下老师的暂停法谢谢。
新人,表示看不懂,学习中
新人,表示看不懂,学习中