吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 4889|回复: 10

某加壳软件的闪退(附自己失败的分析)

[复制链接]
dowdndx 发表于 2021-6-21 20:14 | 显示全部楼层 |阅读模式

本站严厉禁止求脱求破行为(包含无自我分析直接求思路),如发现此类求助主题请点击“举报”,让我们共同维护优质的学习环境!


100HB
截图太麻烦了,我文字描述清楚吧:前提

1.这个软件加的是Themida 1.8.x.x -> Oreans Technologies *壳,用LCT大神的脚本能脱,但是脱壳后无法运行。我尝试其他脚本或者教程脱壳,均已失败告终。

2.软件只能在指定的机器运行(具体机器码未知),所谓的运行,是指打开后不闪退。


3.XP或者Win2003打开后,可以看到软件闪退,界面一闪而过。

4.下BP ExitProcess无法拦截,下BP ShowWindow、或者CreateFileW 等其他断点,可以拦截,返回到用户代码后,由于加壳,关键处被VM了,无法找到具体分析处(我已经跟踪了很久了)。

寻求分析思路与指导,谢谢。

附上附件链接,链接:https://share.weiyun.com/HlUskp3s 密码:9dhq87

解压包密码:1

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| dowdndx 发表于 2021-6-21 20:17 | 显示全部楼层

我的初步思路是,成功脱壳后,下断点分析拦截会方便得多,但目前应该没有人能成功脱壳吧。

成功脱壳后,能够打开,并且闪退。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
djj1076185529 发表于 2021-6-21 20:34 | 显示全部楼层

dowdndx 发表于 2021-6-21 20:17
我的初步思路是,成功脱壳后,下断点分析拦截会方便得多,但目前应该没有人能成功脱壳吧。

成功脱壳后, ...

能人异士多得很,别下这么早的结论。看到你说的话, 瞬间就没了兴趣。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
0×Ret 发表于 2021-6-21 23:01 | 显示全部楼层

本帖最后由 0×Ret 于 2021-6-22 12:57 编辑


复制这段内容后打开百度网盘手机App,操作更方便哦

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
0×Ret 发表于 2021-6-21 23:04 | 显示全部楼层

本帖最后由 0×Ret 于 2021-6-22 12:59 编辑

不想讨论这些,问题。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
byh3025 发表于 2021-6-22 09:46 | 显示全部楼层

0×Ret 发表于 2021-6-21 23:04
正版的 软件都闪退 脱了不是一样的闪退吗? 脱了壳不闪退 有鬼了。等下等恒大审核了我回复的 自己看看吧。 ...

看样子是崩溃
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
0×Ret 发表于 2021-6-22 10:22 | 显示全部楼层

本帖最后由 0×Ret 于 2021-6-22 13:00 编辑

我理解能力太菜了。九年义务教育白上了

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| dowdndx 发表于 2021-6-22 12:20 | 显示全部楼层

0×Ret 发表于 2021-6-22 10:22
他问的这问题应该是想逆向。我理解能力太菜了。九年义务教育白上了

1.这个软件加的是Themida 1.8.x.x  ...

首先,软件需要逆向。

在正版机器上能够直接运行,并且运行后不闪退;在盗版机器上能够运行,之后瞬间闪退。(xp、win2003)

需要解决的是闪退的问题。

逆向成功就是打开后能够运行,并且不闪退。

要逆向该软件,无非是带壳打补丁或者脱壳修改。
1.带壳打补丁情况,由于软件加壳,关键处被VM了,我下Exit断点无法断下、或者create断点能断下,但是找不到判断闪退的关键处。只要找到关键处修改,打补丁就是后话。
2.脱壳后逆向修改情况。软件不脱壳前,能够打开运行,之后瞬间闪退。

用lct的脚本脱后,得到后缀是_DP.exe的软件。脱壳后直接就运行不了了,还有啥闪退?

或者说脱壳后能运行一会再闪退,算是脱壳成功了。至于之后再找关键处逆向修改……如果能成功脱壳,之后逆向相对容易一些。

最后,那个过注册我也会,那个是适用于出现对话框形式的硬件锁。

问题是你看到这个有出现硬件码的对话框吗?而且过注册可以od里手动,或者lct的脚本改一个字节(把bypass改成01),之后脱壳。

对于2.4高版本,可以查找 ,
cmp [r32],r32
pushfd

过注册。这个在tuts论坛,lct已经说过了。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| dowdndx 发表于 2021-6-22 12:22 | 显示全部楼层

0×Ret 发表于 2021-6-22 10:22
他问的这问题应该是想逆向。我理解能力太菜了。九年义务教育白上了

1.这个软件加的是Themida 1.8.x.x  ...

这个只有在正版机器才能运行,而且正版机器不需要regkey.dat。单独一个文件就能运行。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| dowdndx 发表于 2021-6-22 12:30 | 显示全部楼层

0×Ret 发表于 2021-6-22 10:22
他问的这问题应该是想逆向。我理解能力太菜了。九年义务教育白上了

1.这个软件加的是Themida 1.8.x.x  ...

目前需要解决的是闪退的问题。

分析方法有:打补丁 或者 脱壳后(指的是成功脱壳的情况)修改。

如果找到关键处,打补丁自然可行;如果能成功脱壳,之后分析与修改也相对容易。

个人认为,这个与过注册(无论是tmd2.1以下版本或者高版本)关联不是很密切吧?
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表