首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] 重启型验证,请高手们帮忙分析 0.00雪花
发表于: 2010-5-1 09:37 3273

[旧帖] 重启型验证,请高手们帮忙分析 0.00雪花

傲视征途 活跃值
2010-5-1 09:37
3273
请教重启验证型,UPX壳以脱掉。下api,messageboxw对话框断点后点注册断在

77D66526    E8 1C3CFDFF     CALL user32.77D3A147
77D6652B    C9              LEAVE
77D6652C    C2 0400         RETN 4
77D6652F    90              NOP
77D66530    90              NOP
77D66531    90              NOP
77D66532    90              NOP
77D66533    90              NOP
77D66534 >  8BFF            MOV EDI,EDI                              ; 小布伴侣.006275E0
77D66536    55              PUSH EBP
77D66537    8BEC            MOV EBP,ESP
77D66539    833D BC14D777 0>CMP DWORD PTR DS:[77D714BC],0
77D66540    74 24           JE SHORT user32.77D66566
77D66542    64:A1 18000000  MOV EAX,DWORD PTR FS:[18]
77D66548    6A 00           PUSH 0
77D6654A    FF70 24         PUSH DWORD PTR DS:[EAX+24]
77D6654D    68 241BD777     PUSH user32.77D71B24
77D66552    FF15 C412D177   CALL DWORD PTR DS:[<&KERNEL32.Interlocke>; kernel32.InterlockedCompareExchange
77D66558    85C0            TEST EAX,EAX
77D6655A    75 0A           JNZ SHORT user32.77D66566
77D6655C    C705 201BD777 0>MOV DWORD PTR DS:[77D71B20],1
77D66566    6A 00           PUSH 0
77D66568    FF75 14         PUSH DWORD PTR SS:[EBP+14]
77D6656B    FF75 10         PUSH DWORD PTR SS:[EBP+10]
77D6656E    FF75 0C         PUSH DWORD PTR SS:[EBP+C]
77D66571    FF75 08         PUSH DWORD PTR SS:[EBP+8]
77D66574    E8 BFA2FEFF     CALL user32.MessageBoxExW
77D66579    5D              POP EBP
77D6657A    C2 1000         RETN 10
77D6657D    90              NOP
77D6657E    90              NOP
77D6657F    90              NOP
77D66580    90              NOP
77D66581    90              NOP
77D66582 >  8BFF            MOV EDI,EDI
77D66584    55              PUSH EBP
77D66585    8BEC            MOV EBP,ESP
77D66587    6A 07           PUSH 7
77D66589    FF75 10         PUSH DWORD PTR SS:[EBP+10]
77D6658C    FF75 0C         PUSH DWORD PTR SS:[EBP+C]
77D6658F    FF75 08         PUSH DWORD PTR SS:[EBP+8]
77D66592    E8 7B690000     CALL user32.77D6CF12
77D66597    5D              POP EBP
77D66598    C2 0C00         RETN 0C
堆栈窗口显示
0012FB1C   004BC3FA  小布伴侣.004BC3FA
0012FB20   004BC401  小布伴侣.004BC401
0012FB24   004C869A  /CALL 到 MessageBoxW 来自 小布伴侣.004C8695
0012FB28   001D01E8  |hOwner = 001D01E8 ('小布伴侣 [0321]',class='TXBBL')
0012FB2C   006275E0  |Text = "请重新运行软件!"
0012FB30   006275D8  |Title = "提示"
0012FB34   00000000  \Style = MB_OK|MB_APPLMODAL
0012FB38   0012FBB4  指向下一个 SEH 记录的指针
0012FB3C   004C8707  SE 处理器
0012FB40   0012FBA8
0012FB44   00000013
0012FB48   00580B88  小布伴侣.00580B88
0012FB4C   00D49A20
0012FB50  /0012FB5C
0012FB54  |77DA6CAB  返回到 advapi32.77DA6CAB 来自 advapi32.77DA6BAF
F8往下跟到
77D66574    E8 BFA2FEFF     CALL user32.MessageBoxExW
堆栈又显示
0012FB0C   001D01E8  |hOwner = 001D01E8 ('小布伴侣 [0321]',class='TXBBL')
0012FB10   006275E0  |Text = "请重新运行软件!"
0012FB14   006275D8  |Title = "提示"
0012FB18   00000000  |Style = MB_OK|MB_APPLMODAL
0012FB1C   00000000  \LanguageID = 0 (LANG_NEUTRAL)

004C86F9    E8 EE45F4FF     CALL <JMP.&user32.SetActiveWindow>
004C86FE    8B45 E4         MOV EAX,DWORD PTR SS:[EBP-1C]
004C8701    E8 9E3AFFFF     CALL 小布伴侣.004BC1A4
004C8706    C3              RETN
004C8707  ^ E9 98D3F3FF     JMP 小布伴侣.00405AA4
004C870C  ^ EB 9C           JMP SHORT 小布伴侣.004C86AA
004C870E    8B45 F4         MOV EAX,DWORD PTR SS:[EBP-C]
004C8711    5F              POP EDI
004C8712    5E              POP ESI
004C8713    5B              POP EBX
在这的时候
004C8714    8BE5            MOV ESP,EBP
004C8716    5D              POP EBP
004C8717    C2 0400         RETN 4
004C871A    8BC0            MOV EAX,EAX

堆栈出现我的的假码
0012FB5C  ]0012FB80
0012FB60  |0048AC93  返回到 小布伴侣.0048AC93 来自 <JMP.&advapi32.RegCloseKey>
0012FB64  |00000000
0012FB68  |0048AC9B  小布伴侣.0048AC9B
0012FB6C  |00000000
0012FB70  |00DECD4C  UNICODE "00000000"这是我的假码
0012FB74  |00000048
0012FB78  |000000D8

问下突破口在什么地方啊,程序时用Delphi写的

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (3)
傲视征途
雪    币: 191
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
出call后到
0062758B    8BC3            MOV EAX,EBX
0062758D    E8 36C2E9FF     CALL 小布伴侣.004C37C8
00627592    33C0            XOR EAX,EAX
00627594    5A              POP EDX
00627595    59              POP ECX
00627596    59              POP ECX
00627597    64:8910         MOV DWORD PTR FS:[EAX],EDX
0062759A    68 B7756200     PUSH 小布伴侣.006275B7
0062759F    8D45 F8         LEA EAX,DWORD PTR SS:[EBP-8]
006275A2    E8 89FBDDFF     CALL 小布伴侣.00407130
006275A7    8D45 FC         LEA EAX,DWORD PTR SS:[EBP-4]
006275AA    E8 81FBDDFF     CALL 小布伴侣.00407130
006275AF    C3              RETN
006275B0  ^ E9 EFE4DDFF     JMP 小布伴侣.00405AA4
006275B5  ^ EB E8           JMP SHORT 小布伴侣.0062759F
2010-5-1 09:44
0
傲视征途
雪    币: 191
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
堆栈信息:
0012FBB4   0012FBE8  指向下一个 SEH 记录的指针
0012FBB8   006275B0  SE 处理器
0012FBBC   0012FBCC
0012FBC0   00D26C50
0012FBC4   00D947EC  UNICODE "000000"
0012FBC8   00D9452C  UNICODE "000000"
0012FBCC  /0012FBFC
0012FBD0  |004E46A1  返回到 小布伴侣.004E46A1
0012FBD4  |00D26C50
0012FBD8  |0057F621  返回到 小布伴侣.0057F621 来自 小布伴侣.004E462C
0012FBDC  |00580BAB  返回到 小布伴侣.00580BAB 来自 小布伴侣.0057F61C
0012FBE0  |0000002E
上传的附件:
2010-5-1 09:45
0
傲视征途
雪    币: 191
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
00406497    C3              RETN
00406498    8B10            MOV EDX,DWORD PTR DS:[EAX]
0040649A    85D2            TEST EDX,EDX
0040649C    74 1C           JE SHORT 小布伴侣.004064BA
0040649E    C700 00000000   MOV DWORD PTR DS:[EAX],0
004064A4    8B4A F8         MOV ECX,DWORD PTR DS:[EDX-8]
004064A7    49              DEC ECX
004064A8    7C 10           JL SHORT 小布伴侣.004064BA
004064AA    F0:FF4A F8      LOCK DEC DWORD PTR DS:[EDX-8]            ; LOCK 前缀
004064AE    75 0A           JNZ SHORT 小布伴侣.004064BA
004064B0    50              PUSH EAX
004064B1    8D42 F4         LEA EAX,DWORD PTR DS:[EDX-C]
004064B4    E8 EBDFFFFF     CALL 小布伴侣.004044A4
004064B9    58              POP EAX
004064BA    C3              RETN
追到这不知道有没有用
2010-5-1 16:12
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回