各位高手请帮我分析一下这个软件保护机制是什么?小弟在这里谢谢了!
原软件下载地址
4dcK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3I4E0L8$3D9I4x3U0y4Q4x3X3g2U0L8$3#2Q4x3V1k6W2j5i4y4&6j5$3q4K6K9q4)9J5c8X3y4T1j5i4c8W2k6q4)9J5k6i4A6A6M7l9`.`.
该软件有以下几个特点:(我用的是OD-中文fix版,xp系统)
1.该软件用FI检测没有加壳,用VC5编写的.
2.用exeScope资源查看器,发现里面的对话框全被隐藏了,没有可利用的信息.
3.用密码查看软件也没有发现用何种加密算法.
4.用OD打开程序,出现说是程序被压缩,加密等信息的对话框。
5.搜索“当前模块中的函数”只有四个函数,如下所示:
称位于 这个软件
地址 区段 类型 名称 注释
00577294 .data 导入 kernel32.GetModuleHandleA
00577298 .data 导入 kernel32.GetProcAddress
0057729C .data 导入 kernel32.LoadLibraryA
00567000 .data 导出 <ModuleEntryPoint>
6.这是4.6版本,在3.2版本里面用 OD自带功能查找字符串,发现可疑的字符串如下:
ASCII "gistered version of SDProtector This message will not appear on programs protected by a registered verson of SDProtector, please register it from:
98aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4V1M7s2u0G2N6r3g2U0N6r3!0J5i4K6u0W2j5$3!0E0i4K6u0r3L8%4u0V1k6i4u0Q4x3X3g2Z5N6r3@1`."
4.6版本里面已经没有这串了。这是什么东东,哪里有介绍的?
00567000 5>push ebp 打开OD后就停在这里了,然后F8
00567001 8>mov ebp,esp
00567003 6>push -1
00567005 6>push 513321D
0056700A 6>push 8888888
0056700F 6>mov eax,dword ptr fs:[0]
00567015 5>push eax
00567016 6>mov dword ptr fs:[0],esp
0056701D 5>pop eax
0056701E 6>mov dword ptr fs:[0],eax
00567024 5>pop eax
00567025 5>pop eax
00567026 5>pop eax
00567027 5>pop eax
00567028 8>mov ebp,eax
0056702A E>call 这个软件.0056706A 在这如果F7,进去过不了多久OD就会没反应了
0056702F E>call 这个软件.00567035 这里F8后,进入ntdll领空
00567034 F>call far fword ptr ds:[eax+5]
ntdll领空
77FB4DB3 8>mov ebx,dword ptr ss:[esp] 到这里,F8
77FB4DB6 5>push ecx
77FB4DB7 5>push ebx
77FB4DB8 E>call ntdll.77F60B69
77FB4DBD 0>or al,al
77FB4DBF 7>je short ntdll.77FB4DCD
77FB4DC1 5>pop ebx
77FB4DC2 5>pop ecx
77FB4DC3 6>push 0
77FB4DC5 5>push ecx
77FB4DC6 E>call ntdll.ZwContinue 到这里,两次循环后跳出“你必须重新启动计算机”的对话框。
77FB4DCB E>jmp short ntdll.77FB4DD8
77FB4DCD 5>pop ebx
请高人指点!!!
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
