XXJSQ完美爆破及逆向分析思路《求精》

蓝海雲 · 发表于 2018-9-30 17:51

国庆假期闲来无事研究了一个JSQ搞了四个小时本帖只供研究（侵删）
下面开始吧！
1、系统配置及软件需求
①XP系统
②OLLYDBG
③Exeinfope（或者PEID）
④最新版赛博JSQ
2、查壳

蓝海雲 · 发表于 2018-9-30 17:54

打扰了我点的保存草稿咋发出去了删了把大哥

dachuan · 发表于 2018-10-1 10:51

6666 我下次一定弄一个

网速快的宽带。。

AiRenyuC · 发表于 2018-10-2 13:20

我这边也有一个JSQhh

AiRenyuC · 发表于 2018-10-2 13:22

我这边也有一个JSQ。

AiRenyuC · 发表于 2018-10-2 13:23

下次一定弄一个网速快的宽带。。

邱琳是小帅 · 发表于 2018-10-4 07:55

就过来看看，。。

byh3025 · 发表于 2018-10-4 10:44

几天过去了，看到的还是这个草稿

蓝海雲 · 发表于 2018-10-4 16:04

本来想继续写的虚拟机太卡了弄图片又太麻烦  反调试他又自己过去了
就把成品发出来吧
不过大约打开1分半后还会提示时间到期你们研究研究吧
没心情搞了
链接：https://pan.baidu.com/s/1_Xkmp4lfPzpEdFiMRLcBIg
提取码：4isd
里面有三个OD的UDD记录  我也忘了主要用的那个了

过反调试笔记：
地址    模块    激活                      反汇编                               注释
00409491 Saibo    已禁止                      mov ebp,esp                         第一个反调试
004101FC Saibo    已禁止                      je XSaibo.00410203                   跳
004105D1 Saibo    已禁止                      mov ebp,esp                         引擎失败
00410E21 Saibo    已禁止                      jnz Saibo.00410FF4                   跳过启动失败
00410E76 Saibo    已禁止                      push Saibo.0067FB54                引擎启动失败,请退出旧版本或重启电脑后再试一次！
第二个反调试
00558C81 Saibo    已禁止                      je Saibo.0055907D                   暗装这里跳
00586161 Saibo    已禁止                      push esi                            加密定时器暗装不能改
77D29655 user32    已禁止                      mov edi,edi                         Getwindow
77D2A5AE user32    已禁止                      mov edi,edi                         enumWindows
77D2C9C3 user32    已禁止                      mov edi,edi                         FindWindows
77D2CA5A user32    已禁止                      mov edi,edi                         Postquitprocess
7C801E1A kernel32 始终                      mov edi,edi                         退出process
7C813499 kernel32 已禁止                      mov edi,edi                         openprocess
7C81D20A kernel32 已禁止                      mov edi,edi                         Exit
7C8654EC kernel32 已禁止                      mov edi,edi                         proces32first
7C865677 kernel32 已禁止                      mov edi,edi                         process32next
7C8662CF kernel32 已禁止                      mov edi,edi                         create32

asasaas · 发表于 2018-10-15 22:40

过来看看，。。

		自动登录	找回密码
密码			立即注册

[原创逆向图文] XXJSQ完美爆破及逆向分析思路《求精》

评分

评分