对EASYCHM的跟踪调试难题！！！-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

对EASYCHM的跟踪调试难题！！！

发表于: 2005-1-12 22:56 4647

对EASYCHM的跟踪调试难题！！！

crazyzou

2005-1-12 22:56

4647

该软件被UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]加壳，两层壳，手工脱掉后用IMR修复后能运行了，但提示软件被修改（应该是自校验）。然后用w32dasm反编译，搜索字符参考，全没有汉字（乱码）。无可用信息。用OD载入，下CREATFILEA段点，跟踪才发现代码基本上全是隐藏指令，很难分析，请高手指点一下。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (2)
dlk0222 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 205 粉丝 0 关注私信	dlk0222 2 楼可恶的自校验 2005-1-17 10:58 0
askformore 雪币： 383 活跃值： (786) 能力值： ( LV12，RANK：730 ) 在线值：发帖 73 回帖 349 粉丝 2 关注私信	askformore 18 3 楼并没有两层壳（它只是把校验值放到文件尾部，形成Overlay而已），自校验并不可怕（约两处，分时检测），花指令是纸老虎（很多人都这么说的，我觉得也是），用改名的OD，不用担心阿sir临检，Delphi程序跟踪如果能抓住事件就很好跟...:) 2005-1-17 14:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

crazyzou

发帖

回帖

RANK

关注

私信

他的文章

对EASYCHM的跟踪调试难题！！！ 4648

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
dlk0222 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 205 粉丝 0 关注私信	dlk0222 2 楼可恶的自校验 2005-1-17 10:58 0
askformore 雪币： 383 活跃值： (786) 能力值： ( LV12，RANK：730 ) 在线值：发帖 73 回帖 349 粉丝 2 关注私信	askformore 18 3 楼并没有两层壳（它只是把校验值放到文件尾部，形成Overlay而已），自校验并不可怕（约两处，分时检测），花指令是纸老虎（很多人都这么说的，我觉得也是），用改名的OD，不用担心阿sir临检，Delphi程序跟踪如果能抓住事件就很好跟...:) 2005-1-17 14:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复