零强度CM一枚
本帖最后由 JuncoJet 于 2020-3-20 07:45 编辑验证强度为0 稍微升级了下强度,技术方面仿 .NET,反调试 这个帖子有悬赏CB吗,我初来乍到不知道版规?我贴下过程,有的话把CB给我吧。我一年前申请的账号,现在还没发一篇帖子,CB都没几个。想去资源区伸手都周转不开啊。
一.Anit Debug的分析
看目录下的AntiDbg.dll,这个dll干了反调试的事情。它喧宾夺主地把VB程序的初始化抢了。
在IDA里面看了下导入表。
哼,像你这么风骚的导出函数我还是第一次见。像你这种三无人员,如果不是走关系进来的,我今天就把屏幕吃掉!
函数,你成功地引起了我的注意!
加载CM.EXE,先下个LoadLibraryA断点。
填充完IAT以后,果然,你是在调用VB6运行库的初始化函数。你这种低段位的傻白甜,我霸道总裁不是随便看穿你嘛~今天,我就要玩弄你的感情,让你彻底爱上我。
脱壳在这里脱,等填完IAT以后直接干。OEP不用看了,脱完壳我们把入口点补回去。小样~
2.奥利给!!!
用VB Decompiler载入我们修复后的CM。
很好,不愧是我看上的女人,连比较一个数字是否相等都喜欢不走寻常路的用做商法!
为了写这个解析,老师讲评试卷我都错过了两道选择题。快,再加点CB安慰下我!
{:301_972:} {:301_973:} (来自一个贫穷却依然要霸道的男人的请求,你忍心拒绝吗?
VB程序逆向没玩过,在这里修改eax,可以实现破解 楼主和我竟然如此心有灵犀,看我的ID你就懂了。嘿嘿嘿~~~~~~
把入口点替换回来就可以使用VB Decompiler进行反编译了。
简单看了下壳,没去脱,很常规的一个压缩壳。难度在于有些新手只会无脑ESP找OEP,无脑自动修IAT。
{:301_998:} BeneficialWeb 发表于 2020-3-19 20:46
VB程序逆向没玩过,在这里修改eax,可以实现破解
改了VM代码? JuncoJet 发表于 2020-3-19 20:55
改了VM代码?
他直接改了P-CODE的VM Handle。话说我以前破P-CODE懒得去看Handle,也喜欢写个补丁无脑改。 BeneficialWeb 发表于 2020-3-19 20:46
VB程序逆向没玩过,在这里修改eax,可以实现破解
比较感兴趣分析过程😁 三十二变 发表于 2020-3-19 20:57
他直接改了P-CODE的VM Handle。话说我以前破P-CODE懒得去看Handle,也喜欢写个补丁无脑改。
确实是这样,因为VB我也不会{:1_886:} BeneficialWeb 发表于 2020-3-19 21:22
确实是这样,因为VB我也不会
我写了解析,话说这个帖子有悬赏吗?申请了账号以后我第一次来,不懂这个论坛。 三十二变 发表于 2020-3-19 21:30
我写了解析,话说这个帖子有悬赏吗?申请了账号以后我第一次来,不懂这个论坛。
艾特斑竹给你加
页:
[1]
2