求教特殊E盾的逆向分析思路

好吧，我是觉得比较特殊吧。。。这个E盾特征码都不靠谱
直接查壳 看到是没有壳的，但是看区段就知道是vmp的了，这貌似就是vm头部的吧（小菜我也不清楚）

以下是检测od的，这个e盾不能直接retn，貌似是写在什么初始化里面了，登录的时候或是什么功能调用都会走这个部分
贴一部分吧

[C] 纯文本查看 复制代码

0040351B      55            push ebp                                 ;  OD检测区段（竟然和登录写一起了，不能直接retn）
0040351C  |.  8BEC          mov ebp,esp
0040351E  |.  81EC 58000000 sub esp,0x58
00403524  |.  C745 FC 00000>mov [local.1],0x0
0040352B  |.  68 08000000   push 0x8
00403530  |.  E8 40390500   call Crown.00456E75
00403535  |.  83C4 04       add esp,0x4
00403538  |.  8945 F8       mov [local.2],eax
0040353B  |.  8BF8          mov edi,eax
0040353D  |.  BE 73A77600   mov esi,Crown.0076A773
00403542  |.  AD            lods dword ptr ds:[esi]
00403543  |.  AB            stos dword ptr es:[edi]
00403544  |.  AD            lods dword ptr ds:[esi]
00403545  |.  AB            stos dword ptr es:[edi]
00403546  |.  68 08000000   push 0x8
0040354B  |.  E8 25390500   call Crown.00456E75
00403550  |.  83C4 04       add esp,0x4

[C] 纯文本查看 复制代码

00403843  |.  FF75 E0       ||push [local.8]
00403846  |.  B8 05000000   ||mov eax,0x5
0040384B  |.  E8 37360500   ||call Crown.00456E87
00403850  |.  3965 BC       ||cmp [local.17],esp
00403853  |.  74 0D         ||je short Crown.00403862
00403855  |.  68 06000000   ||push 0x6
0040385A  |.  E8 22360500   ||call Crown.00456E81
0040385F  |.  83C4 04       ||add esp,0x4
00403862  |>  8945 DC       ||mov [local.9],eax
00403865  |.  837D E0 00    ||cmp [local.8],0x0
00403869  |.  0F8E 11000000 ||jle Crown.00403880
0040386F  |.  837D DC 00    ||cmp [local.9],0x0
00403873  |.  0F8E 07000000 ||jle Crown.00403880
00403879      B8 01000000   mov eax,0x1                              ;  过检测，这里改成0就过检测了
0040387E  |.  EB 05         ||jmp short Crown.00403885
00403880  |>  B8 00000000   ||mov eax,0x0
00403885  |>  85C0          ||test eax,eax
00403887  |.  0F84 67030000 ||je Crown.00403BF4
0040388D  |.  8B45 DC       ||mov eax,[local.9]
00403890  |.  33C9          ||xor ecx,ecx
00403892  |.  50            ||push eax
00403893  |.  8D45 D8       ||lea eax,[local.10]

然后是

登录按钮 402991

貌似是登录返回call 42DDE7


合法貌似是在这里吧，特征很相似

[C] 纯文本查看 复制代码

00409D2B   .  55            push ebp                                 ;  合法
00409D2C   .  8BEC          mov ebp,esp
00409D2E   >  81EC 20000000 sub esp,0x20
00409D34   .  C745 FC 00000>mov dword ptr ss:[ebp-0x4],0x0
00409D3B   .- E9 3D77DF00   jmp Crown.0120147D

貌似这样的吧，剩下的小菜是不会了，许多特征码都在这里不管甚用

这里是软件地址   http://pan.baidu.com/s/1slRhKKl

以前啥都 mov eax,1 retn了，小菜也是第一次遇见这样的


现在懵逼了，望各路大神能指点一二

xuge888 发表于 2017-3-10 15:02
没有什么难度的E盾

卧槽、、、

xuge888 发表于 2017-3-10 15:05
没必要惊讶 怎么了

xuge888 发表于 2017-3-10 15:02
没有什么难度的E盾

我再去看看去