学习mm475老大一篇教程后的总结
本帖最后由 hktkzyz 于 2015-3-18 19:52 编辑前言:
1、首先非常感谢mm475老大给我们写的教程,我是学完恒大教程后,就开始学习m大教程的,再次表示感谢。
2、这个总结中有与m大一些不一样的地方或补充的地方,完全没有不敬之意,完全是为了和我一样在学习过程中遇到过问题的朋友提供一些帮助和交流。任何高于我等小白水平的大大们请略过。
3、客气话不多说了,入主题。对了,m大教程链接:https://www.52hb.com/thread-3198-1-1.html
(这个教程我整整学了1天,从早8点到现在,汗一个,自己真笨!)
主题:
1、SProtect 2.1x SKE -> Alexey Solodovnikov,脱壳,占了半天时间。用ESP定律,折腾了无数遍,偶尔能进到OEP下面,感觉随机似的,同样的断点,有时进去了,大多数时间进不去,感觉还是壳在作怪。
所以,像我一样水平的还是不要尝试ESP了,直接脚本吧,脚本名称Aspr2.XX_unpacker_v1.15SC.osc。
2、脱壳后,进去查找不到字符串,我看也有一位朋友也说查不到字符串,我也折腾了好半天。。。。原来,要打开“强制模式”,至于怎么打开,m大的主题里,我有回复的帖子里有截图。
3、至于为什么用硬件断点分析,我只知道我们要分析那个地址数据(4)的变化,而数据好像只能在硬件断点中下断。。。
4、在第二次断下之后(数据是4),F8观察数据变化的时候,到了je XUnPack_.0045D377这一行,这一行,原始是不跳的,m大对上面的汇编进行了分析,给eax重新赋值为0。我的做法是直接把je给jmp了,让他必须跳,这样那个数据同样不会由4变成0。
5、那个“关于”里的使用权属于:VolX,我猜测没错的话,应该是脚本作者大神,应该是他在脱壳过程中直接把他的信息注入了程序。(猜测)
(下面是脚本信息,//是注释,前面是将注释的内容转为16进制后用mov进行赋值。同时好像还赋值了一个注册码好像12345678-4444)
13xGRI_3:
mov , #04000000566F6C58# //"VolX"
log EmuAddr, "GetRegistrationInformation"
add EmuAddr, 10
//msg "13xGRI"
//pause
eoe lab82
eob lab82
esto
13xGHI:
bc tmp6
mov , #31323334353637382D34343434# //"12345678-4444"
mov tmp1, esp
6、软件官网里也有说到注册信息保存在StockMan.mdb,只是没想到居然没有加密,呵呵。
7、修改"VolX"这个注册名时,也可用不用修改数据库,因为我们不是可以搜索到字符串了吗,然后你懂的。
最后,客气话不多说,还是感谢m大的教程,同时希望m大出视频教程,这样也能避免我们小白因水平有限而多走弯路。
(不过,话说回来,正因为这一天的反复失败和尝试,是我学到或扎实了一些基础知识,呵呵。)
总结是学习的重要环节,感谢分享!{:7_236:}
Shark恒 发表于 2015-3-18 19:50
总结是学习的重要环节,感谢分享!
谢谢恒大支持。
其实我也有在你的教程里回帖写了过一些总结,呵呵。
确实如你所说,总结是学习的重要环节,并且是一个很重要的环节。
{:5_193:}前排,求奖励~
感谢楼主,学习了!
感谢分享
[快捷回复]-感谢楼主热心分享! 感谢楼主分享 谢谢分享
页:
[1]
2