付费优质VIP教程免费VIP课程168GB教程官方系列教程助困境学子有学上RMB求助区学破解账号登录官方QQ群:12111061BiliBili官方账号
吾爱破解Shark恒账号问题注册问题切换到窄版

吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

吾爱汇编»网站 技术区 『=逆向图文=』 Sublime Text 2.0 简单分析
返回列表 发新帖
查看: 2203|回复: 8

[转载技术] Sublime Text 2.0 简单分析

[复制链接]
Shark_鹏 发表于 2015-3-24 22:41 | 显示全部楼层 |阅读模式

HomePage:http://www.sublimetext.com/
一款非常优秀的代码编写器,近乎是免费的,简单看下验证流程。



  3. 搜索unicode : unreg

  5. 013AE8BA  |.  BE 8C9E6001   mov     esi, 01609E8C                    ;  sublime text 2
  6. 013AE8BF  |.  DD58 10       fstp    qword ptr [eax+10]
  7. 013AE8C2  |.  DD58 18       fstp    qword ptr [eax+18]
  8. 013AE8C5  |.  E8 46FEFFFF   call    013AE710
  9. 013AE8CA  |.  83C4 2C       add     esp, 2C
  10. 013AE8CD  |.  803D 88076C01>cmp     byte ptr [580788], 0  // 对这个全局变量下硬件访问断点
  11. 013AE8D4  |.  0F84 0D020000 je      013AEAE7                // 跳转来自于这里

  13. ......
  14. 013AEAE5  |. /EB 63         jmp     short 013AEB4A
  15. 013AEAE7  |> |DD4424 40     fld     qword ptr [esp+40]
  16. 013AEAEB  |. |8B5424 2C     mov     edx, dword ptr [esp+2C]
  17. 013AEAEF  |. |DD05 D0376001 fld     qword ptr [16037D0]
  18. 013AEAF5  |. |8B7A 64       mov     edi, dword ptr [edx+64]
  19. 013AEAF8  |. |DCC1          fadd    st(1), st
  20. 013AEAFA  |. |B0 FF         mov     al, 0FF
  21. 013AEAFC  |. |884424 28     mov     byte ptr [esp+28], al
  22. 013AEB00  |. |884424 29     mov     byte ptr [esp+29], al
  23. 013AEB04  |. |DEC1          faddp   st(1), st
  24. 013AEB06  |. |884424 2A     mov     byte ptr [esp+2A], al
  25. 013AEB0A  |. |884424 2B     mov     byte ptr [esp+2B], al
  26. 013AEB0E  |. |8B4C24 28     mov     ecx, dword ptr [esp+28]
  27. 013AEB12  |. |51            push    ecx
  28. 013AEB13  |. |83EC 28       sub     esp, 28
  29. 013AEB16  |. |DD5C24 20     fstp    qword ptr [esp+20]
  30. 013AEB1A  |. |8BC4          mov     eax, esp
  31. 013AEB1C  |. |DD4424 74     fld     qword ptr [esp+74]
  32. 013AEB20  |. |BE 6C9E6001   mov     esi, 01609E6C                    ;  unregistered

  34. <div class="blockcode"><blockquote>

  36. 启动时中断在这里:

  38. 002CEDE2   .  E8 C9BBFFFF          call    002CA9B0
  39. 002CEDE7   .  83C4 0C              add     esp, 0C
  40. 002CEDEA   .  8D4C24 04            lea     ecx, dword ptr [esp+4]
  41. 002CEDEE   .  A2 88075800          mov     byte ptr [580788], al   // 典型的全局变量验证模型
  42. 002CEDF3   .  C74424 28 FFFFFFFF   mov     dword ptr [esp+28], -1


  45. 提取一组特征码:
  46. E8 ?? ?? ?? ?? 83 C4 0C 8D 4C 24 04 A2 ?? ?? ?? ?? C7 44 24 28 FF FF FF FF


  49. 跟进Call 看一下:
  50. 本地调用来自 002CB321, 002CEDE2  // 两处调用 应该是一处注册 一处启动验证


  53. 002CA9B0  /[        DISCUZ_CODE_1        ]nbsp; 6A FF         push    -1
  54. 002CA9B2  |.  68 C4C84A00   push    004AC8C4                         ;  SE 处理程序安装
  55. 002CA9B7  |.  64:A1 0000000>mov     eax, dword ptr fs:[0]
  56. 002CA9BD  |.  50            push    eax
  57. 002CA9BE  |.  64:8925 00000>mov     dword ptr fs:[0], esp
  58. 002CA9C5  |.  83EC 74       sub     esp, 74
  59. 002CA9C8  |.  53            push    ebx
  60. 002CA9C9  |.  68 98E04C00   push    004CE098                         ;  30819d300d06092a864886f70d010101050003818b0030818702818100d87ba24562f7c5d14a0cfb12b9740c195c6bdc7e6d6ec92bac0eb29d59e1d9ae67890c2b88c3abdcaffe7d4a33dcc1bfbe531a251cef0c923f06be79b2328559acfee986d5e15e4d1766ea56c4e10657fa74db0977c3fb7582b78cd47bb2c7f9b2 ..


  63. ... ...
  64. // 这是什么算法 ... 算法直接跳过  看返回值
  65. 002CAA50  |.  68 90E04C00          push    004CE090                         ;  ea7e
  66. 002CAA55  |.  50                   push    eax
  67. 002CAA56  |.  FF15 84234C00        call    dword ptr [<&MSVCP90.std::operat>;  MSVCP90.std::operator!=<char,std::char_traits<char>,std::allocator<char> >
  68. 002CAA5C  |.  83C4 08              add     esp, 8
  69. 002CAA5F  |.  84C0                 test    al, al
  70. 002CAA61  |.  74 07                je      short 002CAA6A
  71. 002CAA63  |>  32DB                 xor     bl, bl
  72. 002CAA65  |.  E9 A0020000          jmp     002CAD0A
  73. 002CAA6A  |>  837C24 20 10         cmp     dword ptr [esp+20], 10
  74. 002CAA6F  |.  8B4424 0C            mov     eax, dword ptr [esp+C]
  75. 002CAA73  |.  73 04                jnb     short 002CAA79
  76. 002CAA75  |.  8D4424 0C            lea     eax, dword ptr [esp+C]
  77. 002CAA79  |>  50                   push    eax                              ; /s
  78. 002CAA7A  |.  FF15 D0264C00        call    dword ptr [<&MSVCR90.atoi>]      ; \atoi


  81. .....

  83. /// 看函数返回值
  84. 002CAD55  |.  8B4C24 78            mov     ecx, dword ptr [esp+78]
  85. 002CAD59  |.  8AC3                 mov     al, bl  // 爆破点  mov al,1
  86. 002CAD5B  |.  5B                   pop     ebx
  87. 002CAD5C  |.  64:890D 00000000     mov     dword ptr fs:[0], ecx
  88. 002CAD63  |.  81C4 80000000        add     esp, 80
  89. 002CAD69  \.  C3                   retn


  92. 提取特征码:
  93. 8B 4C 24 78 8A C3 5B 64 89 0D 00 00 00 00 81 C4 80 00 00 00 C3
  94. 8B 4C 24 78 B0 01 5B 64 89 0D 00 00 00 00 81 C4 80 00 00 00 C3

复制代码
定位特征码逆向 还是选取算法call的返回值时机。


算法, SE

评分

参与人数 18HB +24 THX +9 收起 理由
ACZR + 2
Jawon + 1
24567 + 2
Soul1999 + 1
后学真 + 1
娄胖胖 + 1
VipDongle + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
消逝的过去 + 1
飞刀梦想 + 1
zxjzzh + 2 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
l278785481 + 1
jaunic + 1
ldljlzw + 1
hackysh + 1
lies + 1
逍遥枷锁 + 4 + 1 好人有好报!你的热心我永远不忘!谢谢!
Desire + 3 + 1 评分=感恩!简单却充满爱!感谢您的作品!!.
Shark恒 + 5 + 1 ★★★★★ 热心人,佛祖保佑你事事顺利 ,财源滚滚!!!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Shark恒软件逆向VIP教程,开办教学9年,尽职尽责,有问必答,不跑路!学逆向就找Shark恒,节省学习时间,不走弯路!【点击进入】
hackysh 发表于 2022-2-9 16:59 | 显示全部楼层
快速获取HB的方法:先接任务,然后评分、发帖、回帖等即可快速获得大量HB奖励!


[快捷回复]-感谢楼主热心分享!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
头像被屏蔽
别管我了行 发表于 2022-3-10 04:36 | 显示全部楼层

提示: 作者被禁止或删除 内容自动屏蔽
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
头像被屏蔽
ldljlzw 发表于 2022-3-10 09:55 | 显示全部楼层
快速获取HB的方法:先接任务,然后评分、发帖、回帖等即可快速获得大量HB奖励!

提示: 作者被禁止或删除 内容自动屏蔽
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
曾经沧海 发表于 2022-11-4 18:21 | 显示全部楼层

受教了  收藏学习一波
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Shark恒软件逆向VIP教程,开办教学9年,尽职尽责,有问必答,不跑路!学逆向就找Shark恒,节省学习时间,不走弯路!【点击进入】
曾经沧海 发表于 2022-11-23 20:41 | 显示全部楼层
快速获取HB的方法:先接任务,然后评分、发帖、回帖等即可快速获得大量HB奖励!

感谢大佬分享,吾爱因你而精彩!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
一生逍遥 发表于 2022-12-16 07:46 | 显示全部楼层

感谢楼主,马上尝试一下!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
曾经沧海 发表于 2023-4-17 09:04 | 显示全部楼层

感谢楼主,马上尝试一下!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
一生逍遥 发表于 2023-5-13 18:46 | 显示全部楼层

嗯嗯 很感谢楼主的教程!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies @朋友
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!
1层
2层
3层
4层
5层
6层
7层
8层
9层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900

QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表