能力值:
![]()
(RANK:570 )
|
-
-
2 楼
删除代码分析结果
你用的是OD吧
|
能力值:
( LV9,RANK:1060 )
|
-
-
3 楼
OD 把这里识别为数据 , 可以让 OD 识别为代码。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
谢谢楼上的我在od cpu窗口中点右键分析-在下次分析时将选择部分视为-command后可以显示代码,,但是f7下去后出现异常,但是数据又被复制过去了,(这是个复制数据的部分,数据分为两个部分再组合) 不知何故?
这是个外挂,脱机的,估计这个作者是个加解密方面的牛人不然也写不出这么牛的外挂,前面有几个版本加密没有这么复杂都被破了,
下载地址:d83K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0x3%4x3Y4S2Q4x3X3g2U0L8$3#2Q4x3V1k6E0P5i4c8W2M7%4c8Q4x3V1k6%4k6#2)9J5k6i4u0S2M7R3`.`.
里面的222.exe 先载入到出现软件界面,下断在00435E38 |. >call dword ptr [edx+18] ; ,输入区域用户名密码等(随便填)然后点登陆 就会被中断,看到这个奇怪的现象,望高手指教
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
自己顶一下…………
|
能力值:
( LV9,RANK:190 )
|
-
-
6 楼
 要看花指令,找几个加密壳看一下 里面大把!
|
能力值:
(RANK:350 )
|
-
-
7 楼
OD右键,"分析/从模板中删除分析",如不行,按Ctrl+A重新分析
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
谢谢各位帮忙,这个程序还是破不了啊,算法跟踪不出来,内部环环相扣,在send,recv下断,程序都回转到一个switch处来处理数据,用wpe 抓包发现在验证服务器只有一个大小为270发送包和一个390的接受包,只要把这个包的结构和加密破了,这个程序就搞定了,,爆破估计不行内部各步骤是环环相扣的,这个个switch在
00415DF0 $ 53 push ebx ; switch开始处
00415DF1 . 8BD9 mov ebx, ecx
00415DF3 . 8B43 40 mov eax, dword ptr [ebx+40]
00415DF6 . 85C0 test eax, eax
00415DF8 . 0F84 9F000000 je 00415E9D
00415DFE . B9 08C35F00 mov ecx, 005FC308
00415E03 . E8 38F80100 call 00435640
00415E08 . B9 68A15F00 mov ecx, 005FA168
00415E0D . E8 2EF80100 call 00435640
00415E12 . 8B43 40 mov eax, dword ptr [ebx+40] ; 错,对时为b
00415E15 . 83F8 01 cmp eax, 1 ; Switch (cases 1..B)
00415E18 . 75 08 jnz short 00415E22
00415E1A . 8BC3 mov eax, ebx ; Case 1 of switch 00415E15
00415E1C . 5B pop ebx
00415E1D .^ E9 3EF2FFFF jmp 00415060 ; 此处正确时访问网络
00415E22 > 83F8 02 cmp eax, 2
00415E25 . 75 08 jnz short 00415E2F
00415E27 . 8BC3 mov eax, ebx ; Case 2 of switch 00415E15
00415E29 . 5B pop ebx
00415E2A .^ E9 01F3FFFF jmp 00415130
00415E2F > 83F8 03 cmp eax, 3
00415E32 . 74 24 je short 00415E58
00415E34 . 83F8 04 cmp eax, 4
00415E37 . 75 08 jnz short 00415E41
00415E39 . 8BC3 mov eax, ebx ; Case 4 of switch 00415E15
00415E3B . 5B pop ebx
00415E3C .^ E9 9FF3FFFF jmp 004151E0
00415E41 > 83F8 05 cmp eax, 5
00415E44 . 75 08 jnz short 00415E4E
00415E46 . 8BC3 mov eax, ebx ; Case 5 of switch 00415E15
00415E48 . 5B pop ebx
00415E49 .^ E9 12F5FFFF jmp 00415360
00415E4E > 83F8 06 cmp eax, 6
00415E51 . 75 07 jnz short 00415E5A
00415E53 . E8 78F5FFFF call 004153D0 ; Case 6 of switch 00415E15
00415E58 > 5B pop ebx ; Default case of switch 00415E15
00415E59 . C3 retn
00415E5A > 83F8 07 cmp eax, 7
00415E5D . 75 0B jnz short 00415E6A
00415E5F . 57 push edi ; Case 7 of switch 00415E15
00415E60 . 8BFB mov edi, ebx
00415E62 . E8 C9F6FFFF call 00415530
00415E67 . 5F pop edi
00415E68 . 5B pop ebx
00415E69 . C3 retn
00415E6A > 83F8 08 cmp eax, 8
00415E6D . 75 08 jnz short 00415E77
00415E6F . 8BC3 mov eax, ebx ; Case 8 of switch 00415E15
00415E71 . 5B pop ebx
00415E72 .^ E9 29F7FFFF jmp 004155A0
00415E77 > 83F8 09 cmp eax, 9
00415E7A . 75 07 jnz short 00415E83
00415E7C . E8 BFF7FFFF call 00415640 ; Case 9 of switch 00415E15
00415E81 . 5B pop ebx
00415E82 . C3 retn
00415E83 > 83F8 0B cmp eax, 0B
00415E86 . 75 08 jnz short 00415E90 ; 错,对时,进入
00415E88 . 53 push ebx ; Case B of switch 00415E15
00415E89 . E8 92FBFFFF call 00415A20
00415E8E . 5B pop ebx
00415E8F . C3 retn
00415E90 > 83F8 0A cmp eax, 0A
00415E93 .^ 75 C3 jnz short 00415E58
00415E95 . 53 push ebx ; Case A of switch 00415E15
00415E96 . E8 15F9FFFF call 004157B0
00415E9B . 5B pop ebx
00415E9C . C3 retn
00415E9D > 8BC3 mov eax, ebx
00415E9F . 5B pop ebx
00415EA0 .^ E9 5BF0FFFF jmp 00414F00
|
