一个软件又弄了很久,转来转去没头绪,请教大神们 应该是TMD的壳,如果是普通OD马上被检测到,用的是零日论坛的可以过检测,如果没有的我在下面提供一个下载,说下这个难度 正常的注册我估计是给一个授权文件,替换或者不替换放到程序下面,所以这个点刷新授权,会读取set.ini ,这个文件第一行是绑定的QQ号码,第二行其实是作者本身有几款软件,这应该是它的区分,这两个合成后组成机器码,这个刷新授权,其实就是相当于我们的平常见的注册按钮。 查字符串倒是有很多关键字符,例如未授权,永久,失败,等等,但是这个程序和我平常的思路理解的不太相同,正常的程序是跳到永久,然后执行什么代码,或者跳到未授权又执行到哪里,这里全部赋值给eax, (见下图)不知作者是什么想法,然后我把它全部下断,竟然没有断下来, 分析的时候发现好几处都被VM掉,对被VM掉的程序这种应该怎么办呢? 而且这个程序有个特点,一般都是在保存文件前提示注册,它是让你选择完保存路径后再提示注册,我下读文件的断点,能断下来,但是跟不到关键的地方,在字符串里能看到保存文件的字符(搜索“编号”),但是往上被VM掉了 分析了那个失败后,找到这个常量0x539CD0,在所有常量下断,点授权后可以断下来一个,下面那个CALL可以进去看,在验证网址之类的,用那个读文件的断点,也是断到差不多这个位置 因为这个软件是恢复视频的,我做了一个视频镜像拿来测试功能, 打开软件后,点误删除,再点下一步,再点打开镜像,找到我附件中50M ,选中,就出来结果了,目的是要保存它即为成功,求大神指点思路
程序及分析过程。 链接:http://pan.baidu.com/s/1i5yXecd 密码:63dv 零日的OD,在win7 X64可以过检测 链接:http://pan.baidu.com/s/1mi0lEMO 密码:yy41
补充内容 (2017-11-22 18:50):
链接:http://pan.baidu.com/s/1sk8OXqt 密码:taab
地址在这 |