吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 5599|回复: 24

[转载技术] 非本人逆向 只是感觉还好 就发了

  [复制链接]
348792918 发表于 2017-5-8 10:01 | 显示全部楼层 |阅读模式

第一步,查壳  可以看出是nSPack 2.1 - 2.5 nsp也是一个压缩壳
150521uvhvyab4hsv70iiz.jpg
》看到这里01E893A8 >  9C              pushfd然后直接F8单步走下来 注意看右边的寄存器
191010ksh1oriort9m4s9z.jpg
191215blp004dl73px47vd.jpg
我们鼠标选中ESP右键数据窗口中跟随 然后在左下的HEX数据的第一排下硬件断点 看我图中选中的地方
191816dizrg3r3ggkdadd3.jpg 191841ckvfy85zu8dvueuv.jpg
》下好断点后 直接F9运行程序 这是会来到01E8962D  - E9 934D5EFE     jmp 夜华.0046E3C5这个地方 我们继续F8单步就可以来到程序入口了 记得取消硬件断点

看到图中的代码看不到对不对?我们咋办啊? 右键分析-分析代码就可以了 看到真的易语言入库了吧 我们把入口基址记录一下0046E3C5
什么?你问我为什么知道?我也不知道我为什么知道undefined
192718ub641z9440p3e61v.jpg 192752jzq89vzjjtouug1z.jpg
》好的到了这里壳已经脱了 但是还要修复 不然打开会报错的 这里我们用到两款软件 LordPE还有ImpREC(百度就有哦)
我们先打开LordPE选择进程 但是记住不是OD进程 是你放FZ的进程比如我放在桌面c:xxx/xxx/夜华(记得是解压到桌面的)
鼠标选中右键修正镜像大小 然后再次右键完整转存 得到dumped.exe这个文件 点击保存即可
193859jo33quus3wowczut.jpg
》这次我们打开ImpREC 还是一样的附加刚刚的FZ进程c:xxx/xxx/夜华 看到右边的OEP没有 那里就是我们要修改的地方
还记得刚刚我们记录的入口基址吧0046E3C5用这个减去00400000(镜像基址)0046E3C5-00400000=OEP
什么?不会算?读书干嘛去了?减法都不会!打开百度 搜索科学计算器计算一下吧 记得选择高级---十六进制
得到6E3C5 补位就是0006E3C5这个就是真的OEP了
195012l90zz9jy8ci9yzg0.jpg
》把0006E3C5换掉刚刚上面的01A893A8然后点击右边的自动搜索-确定-获取输入表-然后点击右下角的修复转存文件
转存文件就是刚刚保存的dumped.exe(别说不记得在那了。和FZ在一起的)然后选中它打开就好了(注意软件版本1.7的)
195922z3lowas3lf6fikua.jpg
》至此脱壳修复成功(修复成功的是名字后带“—”的)我们查壳.看到是没有壳的 我们直接载入到OD看看
150526oys8bm850stytsty.jpg
》载入OD直接就来到了刚刚的程序入口点0006E3C5我们直接Ctrl+G输入401000来到00401000    33C0            xor eax,eax
然后F9运行程序,右键 中文查找-智能搜索
200712zaemb0ni550aab5y.jpg
》到这里我就不多截图了 看文字 到中文查找处Ctrl+F(也可以右键查找)输入eno如果第一次不对就CTRL+b查找下一个(也可以右键下一个)
找到eno后直接双击进去 往上找一个大跳能跳过eno的然后鼠标双击它把jnz 00401B01改成jmp 00401B01点击汇编,至此功能PJ完成
201835ltiizpvfvvflgmtp.jpg 201857w16dkj1nr1zlrsr0.jpg
》功能PJ了 但是黄金会员没有逆向我们点击上方的窗口-中文查找回到刚刚找eno的地方 找到普通用户登录成功 双击进去
看到普通会员上面的两个CALL,我们可以假设第一个是扣点关键CALL ,我们选中然后回车进CALL 看到v_points,这个 那么上面的段首就是了
重点来了,00403C67    55              push ebp

它的段首应该是VM(加密)了 但是会延时  你只要进来的时候直接空格 push ebp改成ret汇编就好了 改不到的 按ESC回到普通会员处再次进来就好
203056ziju98ai1009v2zw.jpg 203107hqaop1lpml1gvg4d.jpg
》好了黄金会员也成功了,我们右键复制到可执行文件-所有修改 然后在弹出来的窗口继续右键-保存文件 把名字改成吾爱破解 保存即可
保存好了 哦我们打开登录看看
203438dm6826tp9btpk9wb.jpg
》提示黄金会员登录成功,至此已经讲完了本课的所有内容了哦,有什么不懂的大家可以回复哦
204239bryvhjhh4zchfhhy.jpg

评分

参与人数 21HB +24 THX +7 收起 理由
禽大师 + 1
虚心学习 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
boot + 1
一路走来不容易 + 2
消逝的过去 + 1
冷亦飞 + 1
by0827 + 1
liugu0hai + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
lies + 1
hnymsh + 2
hackysh + 1
成丰羽 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
小声点我布隆 + 1
muker + 1
mengzhisuoliu1 + 1
mengzhisuoliu + 1
取名好难哦 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
wswwj + 3 + 1 [快捷评语] - 2017,让我们17学破解!
木来者 + 1 好的东西都可以分享学习,这和音乐无国界一样样的……
994931954 + 1 [快捷评语] - 2017,让我们17学破解!
Falsse + 5 + 1 [快捷评语] - 2017,让我们17学破解!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
byh3025 发表于 2017-5-8 12:42 | 显示全部楼层

@ Shark恒 那么大大的水印都能审核通过,可我上次的自己写的一个图文却被判定为盗取,我知道已经有大神发过考无忧的教程,可我发的内容和那一个是不样的
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Falsse 发表于 2017-5-8 13:19 | 显示全部楼层

人家都说是  非他逆向... 再说了这个对新人是很好的 教程
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
王艺谋 发表于 2017-5-8 13:26 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
当初呢 发表于 2017-5-8 13:30 | 显示全部楼层

太有难度了
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
因你有我 发表于 2017-5-8 20:08 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
123-木头人 发表于 2017-5-10 09:37 来自手机端 | 显示全部楼层

说实话这些水印很好处理,都在一些无关紧要的地方,用美图秀秀处理一下就好了
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
123-木头人 发表于 2017-5-10 09:41 来自手机端 | 显示全部楼层

在来一句,如果你回来,可以拿他的课件,自己调试一遍,然后记录下你的过程,这也不错啊
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
gef2000 发表于 2017-5-10 10:31 | 显示全部楼层

额..略复杂  留名备用!~~
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
aimee 发表于 2017-5-11 15:26 | 显示全部楼层

感谢楼主分享!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表