学破解论坛-软件逆向分析工程师的摇篮-懂进攻知防守!

 ★找回密码★
 ★立即注册★

QQ登录

只需一步,快速开始

查看: 7577|回复: 155

[原创逆向图文] 零基础也能完美逆向分析最新e4a

  [复制链接] |关注本帖

  离线 

签到天数: 6

该用户今日未签到

马上注册,深入学习!

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
大家好,我是破天无名,
今天给大家放一全面的e4a教程哦,方法是死的,希望大家能活学活用,如果感觉逆向分析有意思啊就看看某出的入门吧是几位大神出的,当然我是不时间看....
这个软件比较特别,不管你没运行他,他是找不到字符串的,或者你到他的401000处,我是不认这个地址的,我是点od的E,然后双击一个路径和我们逆向分析一样的,到40100处,这个地址不是绝对的,有的不是这个,用我说的也能到那里,可还是不能找字符串,那怕运行了也是一样,那么我们初步的想他,是全部武装了,可他再武装也有开枪打人的时候对吧,我们就利用回调的方法,把他给逆出来
好了,下面进入主题
第一步:打开od----把软件拖入,直接f9运行起来,如图
1.jpg
                              
这里是刚载入的,先提前给大家说下,标题上模块右边有一个e4a说明我们载入的是软件,可以在这里修改,如果不是这个,修改是没用的哦,这个是提醒
第二步,直接找软件要注册那里做突破口,随便注册下,会提醒对不起什么的,我们回到od给暂停下,如图
2.jpg
3.png
4.png
上图大家看看吧,这个就是系统领空和我刚开始说的,模块右边是ntdll,这个不是我们的软件,这里第二次强调,
第三步,调试-----执行到用户代码,如图
5.png
这时od上有返回到用户,如图
6.png
第四步,回到软件再点刚才提示说对不起什么的,那个确定,如图
7.png
第五步,这里软件是会被暂停下来的,回到od后发现这时还是系统领空,我们那怕改了也没用,改的不是软件本身,所以要一直f8的单步向下走...这里第三次强调下,要看标题上那里必须要处在逆向分析软件的名字才行,如图
8.png
Retn这个东东是事件调用结束的意思,通常这个就是返回,也就是出口,如图
9.png
经过无数次的单步,(手都单步抽筋了)如图,这是最后一个retn,再单步下就出来了
10.png
再来张我们回到软件上的图片吧
11.png
注意到没,标题上的模块右边已经是软件的名字了
第五步,接着我们可以搜索字符串了, 这个可不止是这个软件可以用哦,其他软件也是一样的,不管他加了多强的壳,vm了多少代码,或者加了多少花指令,都能多多少少能把其他字符串上的信息给我们报出来,(这废话也太多了!)
直接看我们搜索字符串的美图吧
12.png
经过我们强大的od漫长的分析与扫盲,终于出来了,看图
13.png
这也太多了吧,两万多个呀,......看到紫色的条条没,这个就是我们软件暂停下来的地址,我们是从注册错误那里进来的对吧,那么前面一定有注册成功的东东,这不在上面有个已注册的了,我们双击进入
14.png
我们要向上找,凡是有个j开头的都是个跳转我们就点一下他,看他是不是有跳过我们的已注册的,如图
15.png
经过无数次向上点击去查看,终于在写个程序不容易这里的上面有个大跳转,如图
16.png
在这条白线上双击下,下个断.....或者f2,前面会变红的了,如图
17.png
这时我们运行下软件,f9,如图
18.png
再点下注册
19.png
发现软件又停下来了,而且这个跳转变红了,就是实现跳过我们已注册,到了我们刚才那个对不起那里去了,所以我们不能让他跳啦,如图
20.png
我们就右键-----二进制----nop填充
21.png

22.png
再运行下,发现已经注册成功了,如图
23.png
这里我们已经算是半完美的逆向分析了,正版是能编译发布版的,可我们是注册的了,还是不能编译的,如图
24.png
25.png
下到了编译就又变成未注册了的,说明我们逆向分析只是表明,没有逆向分析对地方如图
26.png
那么我们找他提示出来的,正在等待用户验证,如图
27.png
Ctrl+f 搜索   正在等待用户进行验证,,,,,,,,,如图
28.png
29.png
果断双击在这里下断,f2,,如图
30.png
这里刚好是入口.....下好断后,再去点编译如图
31.png
32.png
又暂停下来了,我们单步的向下走,这里要看j开头的那些能跳转的,就是他的线变红了,如图
33.png
像上面的就是现实跳转的了哦,这个不管他,因为他不是关键跳转
34.png
这个已经跳转了哦,可是这个是加密狗校验成功了,可他跳过了,我们把他给干掉,如图
35.png
36.png
再运行,发现已经能正常编译了,如图
37.png
38.png
可是,当我们用比如编辑框后会闪退,,可我们能编译,也是注册版的了呀,这时我们猜测在验证成功下面还有一个跳转没有实现,或者实现,让这个软件没能正常使用,这个叫暗装.

我们回到查找字符串那里找下编辑框,如图
39.png
可这个不是,我们在英文输入法的状态下,按下b,找下一个
到了编辑框的属性那里如图,在图片我们看到在他的属性下面有个路径呀,其他的工具是没有的呀从这里的路径下个断,再编译下
40.png
41.png

这个是路径,我们看看别的是没有的呀,所以我们猜下是不是这出问题了,
下面来看看按钮的下面,发现没有这个路径呀,所以我们可以大胆的正确他有问题
42.png
那我们在双击进入后在上面看有没有大跳转,跳过这个的,没有就到最上一点下个断,好下一步确定下是不是我们猜的那样
43.png
看到没,有一个大跳,我们再编译一下,看会不会停下来
44.png
最后还是停下来了
这个没有跳
我们试一下让他跳吧
然后编译出来的软件看会不会闪退,记得这个是加了编辑框后编译生成出来的软件会闪退的地方,

我们双击下je,改为jmp如图
45.png
46.png
发现使用编辑框生成出来的软件居然不会闪退了,
好了,我们逆向分析调试的教程结束了,下面是制作补丁
用到的软件是pyg内存补丁  飘零的东西,使用比较方便
如图
47.png
先配置一下
在目标上选择我们要逆向分析的软件
1.png
接下来把我们改的复制下来生成补丁
按键盘上的减号,回退到我们之前修改的地方,或者在改的时候记下来,如图

第一处
50.png
51.png
先恢复下
然后按ctrl+c   复制下
00A170AD  /0F84 B9020000   je 00A1736C
把第一排的地址复制到补丁地址上
52.png
后面的这个给删除了
回到软件再nop掉第一处的跳转
53.png
54.png
发现有690
把他打到补丁上,如图
55.png
最后选择下软件,再点增加,如图
56.png
后面两人跳转补丁也是一样添加,如图,把原来的改成修改的就成了
57.png
最后点下生成,如图
58.png
补丁就这样被我们给做好了,这个补丁是放在这个补丁软件的根目录下的哦,到那里就能看到,
好了教程结束了,不懂的就留言


49.png

评分

参与人数 121威望 +1 HB +190 THX +44 收起 理由
迷路的小星球 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
syzh802618 + 2 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
y_x_boy + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
xingxingzzz + 1 [快捷评语] - 2017,让我们17学破解!
foxman + 1 [快捷评语] - 2017,让我们17学破解!
半世浮华 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
紫缘 + 1 [快捷评语] - 2017,让我们17学破解!
独一无② + 1 + 1 [快捷评语] - 2017,让我们17学破解!
hongge + 1 + 1 [快捷评语] - 2017,让我们17学破解!
peter_king88 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
守护神艾丽莎 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
唯美的帅哥 + 1 [快捷评语] - 2017,让我们17学破解!
雪花飘飘 + 1 + 1 [快捷评语] - 2017,让我们17学破解!
zwc123xyz + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
消逝的过去 + 5 + 1 [快捷评语] - 2017,让我们17学破解!
slg18 + 1 [快捷评语] - 2017,让我们17学破解!
米其林轮胎 + 2 + 1 [快捷评语] - 2017,让我们17学破解!
datonglu + 2 + 1 [快捷评语] - 评分=感恩!简单却充满爱!感谢您的作品!
列明 + 2 + 1 我竟然看懂了,非常感謝,很詳細,理解也容易
1786363325 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!

还有更多人参与评分,点击查看全部!

学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!

  离线 

签到天数: 6

该用户今日未签到

 楼主| 发表于 2016-8-6 21:20 | 显示全部楼层 |取消关注该作者的回复
给自己留个位置
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 263

该用户今日未签到

楼主的风格我很喜欢,教程每个步骤讲解很细致,建议以后把假码1111111111111111改为www.xuepojie.com
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 1

该用户今日未签到

很有用。马上去试试。
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 1

该用户今日未签到

感谢分享            学习学习
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

jianglinjian 该用户已被删除
提示: 作者被禁止或删除 内容自动屏蔽
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

该用户从未签到

谢谢分享!!
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 3

该用户今日未签到

这个貌似还有重启验证吧。我记得他好像就是一个Call验证这些,这样我们可以直接修改Call的返回值就行了。他的注册信息就保存在目录下的一个txt文件下。
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 2

该用户今日未签到

厉害。菜鸟去学习下
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

该用户从未签到

太深了,看不懂了哈
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

免责声明

本站中所有被研究的素材与信息全部来源于互联网,版权争议与本站无关。本站所发布的任何软件的逆向分析文章、逆向分析视频、补丁、注册机和注册信息,仅限用于学习和研究软件安全的目的。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。学习逆向分析技术是为了更好的完善软件可能存在的不安全因素,提升软件安全意识,所以您如果喜欢某程序,请购买注册正版软件,获得正版优质服务!不得将上述内容私自传播、销售或者其他任何非法用途!否则,一切后果请用户自负!


站长微信号:SharkHeng|联系Email|手机版|小黑屋|FAQ|Vip破解教程|学破解论坛 ( 京公网安备 11011502002737号 | 京ICP备14042738号 ) 

GMT+8, 2017-10-24 01:11

快速回复 返回顶部 返回列表