[讨论]ZP1.4.9在修复的时候一直断不下来。有视频有真相。-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[讨论]ZP1.4.9在修复的时候一直断不下来。有视频有真相。

发表于: 2013-9-7 09:59 11728

[讨论]ZP1.4.9在修复的时候一直断不下来。有视频有真相。

天天的学

2013-9-7 09:59

11728

我在用OD载入程序的时候程序直接跑飞，不知道怎么个情况。
本来我以为是家里Win7系统的事，可是到单位的XP也是一样的。

然后我设置bp DialogBoxIndirectParamA断点。

重新载入

0012F89C 01D83053  /CALL 到 DialogBoxIndirectParamA 来自 01D8304D
0012F8A0 01CA0000  |hInst = 01CA0000
0012F8A4 01D122D8  |pTemplate = 01D122D8
0012F8A8 00000000  |hOwner = NULL
0012F8AC 01CE6120  |DlgProc = 01CE6120
0012F8B0 00000000  \lParam = NULL
0012F8B4 01D4244F
0012F8B8 01D43F3C
0012F8BC 00000000
0012F8C0 000001D4
0012F8C4 01D42138
0012F8C8 01CE657E  返回到 01CE657E 来自 01CE640E

在0012f8c8上右击反汇编代码中跟随

01CE6574 /74 1A          je X01CE6590    在这里设置硬件执行断点
01CE6576 |53             push ebx
01CE6577 |8BCD          mov ecx,ebp
01CE6579 |E8 90FEFFFF    call 01CE640E
01CE657E |3D 2C230000    cmp eax,0x232C
01CE6583 |74 0B          je X01CE6590
01CE6585 |8BCD          mov ecx,ebp
01CE6587 |E8 6BF9FFFF    call 01CE5EF7
01CE658C |85C0          test eax,eax
01CE658E  ^|75 C4          jnz X01CE6554

重新载入
  我发现后面还有一个要跳过注册框  就没有删除 DialogBoxIndirectParamA断点
停到01CE6574  让它跳过。运行
向下单步走到这里

00D3B31B 60             pushad
00D3B31C E9 02000000    jmp TdxW.00D3B323
00D3B321 AE             scas byte ptr es:[edi]

在00d3b31c 的时候设置ESP定律

0012FE6C 0225618A  /CALL 到 DialogBoxIndirectParamA 来自 02256184
0012FE70 02370000  |hInst = 02370000
0012FE74 022022D8  |pTemplate = 022022D8
0012FE78 00000000  |hOwner = NULL
0012FE7C 023B6120  |DlgProc = 023B6120
0012FE80 00000000  \lParam = NULL
0012FE84 0223244F
0012FE88 02233F3C
0012FE8C 00000000
0012FE90 0000014C
0012FE94 02232138
0012FE98 023B657E  返回到 023B657E 来自 023B640E

然后再返回反汇编代码窗口

023B6574 /74 1A          je X023B6590
023B6576 |53             push ebx
023B6577 |8BCD          mov ecx,ebp
023B6579 |E8 90FEFFFF    call 023B640E
023B657E |3D 2C230000    cmp eax,0x232C
023B6583 |74 0B          je X023B6590
023B6585 |8BCD          mov ecx,ebp
023B6587 |E8 6BF9FFFF    call 023B5EF7
023B658C |85C0          test eax,eax
023B658E  ^|75 C4          jnz X023B6554

再到023b6574硬件执行

重新载入

两个硬件执行断点全部跳过，再单步走几步就到OEP
然后用Lordpe脱壳

现在开始修复，可以看到所有的输入表都不可用。然后打开zpfixer修复
把所有的东西都填写上，删除断点。
运行，直接进程终止，不知道这是怎么回事。

崇拜低调大牛。

我的操作视频

f15K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8S2L8W2)9J5k6h3u0S2K9h3c8#2i4K6u0W2j5$3!0E0i4K6u0r3M7$3S2S2M7X3g2Q4x3V1k6D9K9h3&6C8i4K6y4r3M7$3S2S2M7X3g2A6k6q4)9K6c8o6b7J5y4o6V1&6z5e0b7K6y4q4)9J5y4Y4g2C8i4K6y4p5x3e0x3&6x3K6R3%4x3U0R3%4z5l9`.`.
直接保存到网盘在线看。不用下载了。

大家都鄙视不发软件的，我就发上吧。
c3eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8S2L8W2)9J5k6h3u0S2K9h3c8#2i4K6u0W2j5$3!0E0i4K6u0r3M7$3S2S2M7X3g2Q4x3V1k6D9K9h3&6C8i4K6y4r3M7$3S2S2M7X3g2A6k6q4)9K6c8o6j5@1x3o6M7$3x3U0M7#2y4q4)9J5y4Y4g2C8i4K6y4p5x3e0x3&6x3K6R3%4x3U0R3%4z5l9`.`.

我的头都快大了。新手不懂。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (11)
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 2 楼注册框在DBF.DLL，脱掉就行了。 2013-9-7 11:14 0
天天的学雪币： 15 活跃值： (125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 70 粉丝 0 关注私信	天天的学 3 楼大侠啊，大侠，可以再说的详细一点吗？或者您把脱掉修复好的让我研究一下？ 2013-9-7 11:29 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 4 楼一切随缘，往事随风，看看再说。 2013-9-7 11:43 0
天天的学雪币： 15 活跃值： (125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 70 粉丝 0 关注私信	天天的学 5 楼可以啊，太谢谢大牛了，这是怎么发现的呢，可以给点文字或者图片或者视频教程吗？看来我们看雪也是有好人帮忙教我们新手啊。 2013-9-7 13:33 0
天天的学雪币： 15 活跃值： (125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 70 粉丝 0 关注私信	天天的学 6 楼这个也是ZP的壳，找到OEP也是修复不了。这个DLL文件可以用zpfixer修复吗？修复的时候选择loaddll进程吗？ 2013-9-7 14:53 0
天天的学雪币： 15 活跃值： (125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 70 粉丝 0 关注私信	天天的学 7 楼额，其实我已经没有脸来找你了。但是我没有办法了，跟了这么长时间，还是那样。一直登陆失败本来可以登陆进去，现在只能看独立行情。登陆帐号一直登陆不上。一直显示这样的。我只是想在单位和家里可以同时使用。本以为破了，现在看来没有啊。很郁闷。不知道他的登陆标识是什么东东。上传的附件： 1.jpg （39.54kb，2次下载） 2.jpg （47.63kb，1次下载） 2013-9-7 16:35 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 8 楼两台机器分别抓包对比。 2013-9-7 18:02 0
天天的学雪币： 15 活跃值： (125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 70 粉丝 0 关注私信	天天的学 9 楼好主意，我马上去试。 2013-9-7 21:39 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 10 楼也可以把dll覆盖到注册过的那台机器上，看看能否正常登陆。如果可以，那么我怀疑是程序发送的登陆包包含了一些硬件信息。如果不可以，可能是破解的问题了。 2013-9-7 22:15 0
天天的学雪币： 15 活跃值： (125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 70 粉丝 0 关注私信	天天的学 11 楼不可以的，我怀疑是不是哪里有检测。在搞。 2013-9-8 01:12 0
杨开银雪币： 9 活跃值： (544) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 167 粉丝 0 关注私信	杨开银 12 楼上传的附件： oo.jpg （16.65kb，1次下载） 2013-10-11 11:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

天天的学

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 2 楼注册框在DBF.DLL，脱掉就行了。 2013-9-7 11:14 0
天天的学雪币： 15 活跃值： (125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 70 粉丝 0 关注私信	天天的学 3 楼大侠啊，大侠，可以再说的详细一点吗？或者您把脱掉修复好的让我研究一下？ 2013-9-7 11:29 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 4 楼一切随缘，往事随风，看看再说。 2013-9-7 11:43 0
天天的学雪币： 15 活跃值： (125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 70 粉丝 0 关注私信	天天的学 5 楼可以啊，太谢谢大牛了，这是怎么发现的呢，可以给点文字或者图片或者视频教程吗？看来我们看雪也是有好人帮忙教我们新手啊。 2013-9-7 13:33 0
天天的学雪币： 15 活跃值： (125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 70 粉丝 0 关注私信	天天的学 6 楼这个也是ZP的壳，找到OEP也是修复不了。这个DLL文件可以用zpfixer修复吗？修复的时候选择loaddll进程吗？ 2013-9-7 14:53 0
天天的学雪币： 15 活跃值： (125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 70 粉丝 0 关注私信	天天的学 7 楼额，其实我已经没有脸来找你了。但是我没有办法了，跟了这么长时间，还是那样。一直登陆失败本来可以登陆进去，现在只能看独立行情。登陆帐号一直登陆不上。一直显示这样的。我只是想在单位和家里可以同时使用。本以为破了，现在看来没有啊。很郁闷。不知道他的登陆标识是什么东东。上传的附件： 1.jpg （39.54kb，2次下载） 2.jpg （47.63kb，1次下载） 2013-9-7 16:35 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 8 楼两台机器分别抓包对比。 2013-9-7 18:02 0
天天的学雪币： 15 活跃值： (125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 70 粉丝 0 关注私信	天天的学 9 楼好主意，我马上去试。 2013-9-7 21:39 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 10 楼也可以把dll覆盖到注册过的那台机器上，看看能否正常登陆。如果可以，那么我怀疑是程序发送的登陆包包含了一些硬件信息。如果不可以，可能是破解的问题了。 2013-9-7 22:15 0
天天的学雪币： 15 活跃值： (125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 70 粉丝 0 关注私信	天天的学 11 楼不可以的，我怀疑是不是哪里有检测。在搞。 2013-9-8 01:12 0
杨开银雪币： 9 活跃值： (544) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 167 粉丝 0 关注私信	杨开银 12 楼上传的附件： oo.jpg （16.65kb，1次下载） 2013-10-11 11:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复