菜鸟破解菜鸟的vmp
拿到软件之后首先查壳,发现加了vmp强壳,感觉基本是凉凉了,但是我还是要强行先来分析一波。http://r.photo.store.qq.com/psb?/V13wYs3d1qOGpm/spGjZJE6o.vhMN7bW.entb2.Sue0nEc9zcSP9NNtBDM!/o/dEwBAAAAAAAA&bo=.AHhAPgB4QARECc!
不管那么多,先放到虚拟机OD里面跑起来看看再说
http://r.photo.store.qq.com/psb?/V13wYs3d1qOGpm/UzGIPNznoL0CinhkTAM6HMRMQzoTy9PweXq4EkWKw9c!/o/dL4AAAAAAAAA&bo=jAYvBIwGLwQRECc!
http://r.photo.store.qq.com/psb?/V13wYs3d1qOGpm/SOYCp45O1JJGpZrpEd8iMZmHjKThTxFG*VXIS*trKVs!/o/dDUBAAAAAAAA&bo=4AWXA.AFlwMRIBc!
到这里直接出现弹窗提示,即将开始push窗口然后关闭。操了dj,但是没有反调试反虚拟机检测,还好。
既然出现弹窗,那么就可以先来个弹窗断点看看是哪里调用
http://r.photo.store.qq.com/psb?/V13wYs3d1qOGpm/KagfvUYR6*CDDTdST9TMv2Jog2uooEXdw4F9hEkxqp0!/o/dL8AAAAAAAAA&bo=ogalA6IGpQMRMAc!
http://r.photo.store.qq.com/psb?/V13wYs3d1qOGpm/CW0bw8p3BP*ihNBrDaQgIGAz2ctIkFGyBv68kEmAUBI!/o/dL8AAAAAAAAA&bo=cgePA3IHjwMRIBc!
本人也是菜鸟,F8跟了很久七拐八拐也就找到是调用user32的api消息弹窗。然而对我并没有什么卵用。文章到此结束!
等等,我突然想到查看下此进程的窗口信息,毕竟易语言启动窗口肯定要载入,然后才有弹窗,没载入弹窗不可能出现。so!
http://r.photo.store.qq.com/psb?/V13wYs3d1qOGpm/K8HBo1HysZZhu4B1oYbotJ0Wcv7Yx7kGdzrcLhNP1VM!/o/dIQAAAAAAAAA&bo=awe0A2sHtAMRIBc!
那么就很明显,窗口是已经载入了的,只不过被隐藏并且禁止操作了。OK!让它显示出来再解除禁止就ok了,就是这么简单,根本不需要OD操作了。
http://r.photo.store.qq.com/psb?/V13wYs3d1qOGpm/Rrvq2bhgvoD94IxQMImQ5I3uQRCH2SnW*8irmxj43IM!/o/dL4AAAAAAAAA&bo=XQe8A10HvAMRECc!
就是这么so easy!剩下就是编写代码的问题了,找到进程进行窗口的操作。
本人也是菜鸟,老鸟勿喷,第一次发帖,有什么不对请原谅!谢谢!
至于软件就不发了,毕竟别人用来赚钱的,大家看个稀奇就行了。哈哈
涛之雨 发表于 2019-8-17 22:03
目测是假的vmp。。
话说楼主这个贴意义何在?
学习历程的记录还是来炫耀软件?
看MessageBox被断下来后,就能看出来,弹对话框的地方被VM了,他并没有做处理,看他的截图的意思,应该是那个软件窗口被隐藏了而已,他用彗星小助手让它显示出来了而已!!!估计是这样的:原软件被加壳了,但是出售的人又脱不掉,所以只好自己写了个引导起启动程序,启动原程序之后隐藏窗口,给人的感觉这才是启动框,结果这软件就成某些人的了。 Support,多点文字说明就更好了 图片是不是要加点文字描述一下?{:1_918:} 我还以为菜鸟打印,最近菜鸟打印开启时,由原来的一个通知改为两个通知了,要关闭两次通知,不知道有没有人知道怎么回事,怎么处理! 谢谢分享 感谢分享感谢楼主分享! 感谢分享 好复杂啊 看的吃力 目测是假的vmp。。
话说楼主这个贴意义何在?
学习历程的记录还是来炫耀软件?
只有图没有过程不说,软件不发可以理解为有隐私,不便,不谈。
那么这个帖子有什么意义呢?没有分析没有结果。。。
当然我不是来吵架的。就事说事,楼主勿动怒。
最后小声逼逼一句,为啥od不是吾爱的。。。 支持,多一些说明更好