网站 › 『脱壳破解讨论求助区』 › 关于大佬劝退系列的不死心尝试【已完成】

long6298 发表于 2021-3-17 05:05

关于大佬劝退系列的不死心尝试【已完成】

本帖最后由 long6298 于 2021-3-17 21:37 编辑

易语言程序可以通过GetVersion函数找OEP。在GetVersion函数段尾下段，F9。F7，往上拉，就是OEP了。
@ICEY

感谢23楼这位朋友，直接让我找到了关键跳，完成了破解。然后用樱花做了补丁，非常之完美。
已经评分，但是等级比较低，只能1分。


新问题出现了，重启过后，樱花补丁无效，这是哪方面原因呢？该如何解决？（我该学习哪部分知识）

知道vmp挺难的，在论坛里搜了好几天的帖子，看了很多热心大牛的回复，摸索了一段时间，遇到问题想了好几晚上，还是不知道下一步，请指导一下。
我把这几天摸索的东西汇报一下。

1、查壳





应该是VMP2.07吧

一开始找中文找不到，都是乱码，寻思脱壳，网上搜了一圈，基础略高，而且大佬们的建议都很一致，带壳调试比脱壳好点。

2、打开OD（用的论坛网盘 吾爱破解那版）

直接打开并不会出现软件的窗口（摸脑壳）

这是软件的打开弹窗






根据网帖的教程，进行了如下操作

   按下Ctrl+G跳转到VirtualProtect函数的位置


在VirtualProtect的起始处（0x75EB4347）下断点，然后开始按F9，程序会多次停在断点处，在此期间要注意观察右下方红框中的NewProtect的值。

当NewProtect的值变为PAG_READONLY时，样本的代码已经全部解密出来了，停止按F9。


解密出代码后，开始寻找OEP了，来到程序的代码起始处0x401000（学习得知每个程序的代码起始处不一样，这个应该还是），右键->分析->从模块中删除分析，让代码更直观。


通过搜索入口点字节码来找OEP，每种编译器的初始字节码是不一样的，用查壳工具可以得知是VC编译的。
VC编译出来的程序入口点的字节码为：push ebp mov ebp,esp （原贴为push ebp move ebp,esp，搜不出来，我挠头好久）
按下Ctrl+S搜索该汇编码以寻找入口点
第一个搜索结果代码很长，应该就是 004010A9


根据教程，在004010A9处右键->断点->硬件执行，给OEP下硬件断点
重新加载程序，出现新问题


又找大佬帖子，原因好像是之前的下的断点问题，点了确定继续。


取消掉之前VirutalProtect的断点（0x75EB4347）


按下F9，教程说会来到OEP的位置，但我是这个样子，好像不对啊。


所以哪里出了问题呢？请大佬指教
另外，看很多教程里，可以搜索中文提示找关键跳进行修改，但我搜索是这个样子……没有弹窗里的那些的字该如何处理？



这是样本链接
链接：https://pan.baidu.com/s/1i5BvhWBQrG8kCntKZUMelQ
提取码：twae

涛之雨 发表于 2021-3-17 09:08

王成 发表于 2021-3-17 08:30
论坛禁止求破！这点真的不好！很多知识是需要高手指导交流的！

请层主注意，是禁止求破，不是禁止讨论！
如果禁止讨论何必专门分出一个“脱破求助区”，还专门分配管理来分管（我分管的）。
讨论和求破不一样，管理员们都会仔细区分的。

那如果每个人都发个软件出来，打着“交流讨论研究学习”的名号，求脱求破，那么论坛的意义还在哪里（某些平台到处都有代破服务）

jk58639844 发表于 2021-3-17 09:41

已经能看到你的努力了，虽然你觉得菜，但是有人更菜，比如在下我{:1_937:}

long6298 发表于 2021-3-17 05:17

如果能指导完成剩余步骤，如果大佬不嫌弃论坛币，我会双手奉上。

跌宕起伏 发表于 2021-3-17 06:36

你已经在看到中文字符串了，证明程序没有经过vm，直接带壳调试，然后打个补丁就行了

guiyouran 发表于 2021-3-17 06:44

好像很高深的问题。高手啊，学习学习！

long6298 发表于 2021-3-17 07:38

跌宕起伏 发表于 2021-3-17 06:36
你已经在看到中文字符串了，证明程序没有经过vm，直接带壳调试，然后打个补丁就行了

下面都是乱码，看不出来是哪里，没有弹窗的那些字

long6298 发表于 2021-3-17 07:41

guiyouran 发表于 2021-3-17 06:44
好像很高深的问题。高手啊，学习学习！

我这明显是菜鸟啥也不懂试了试没搞出来，舔着脸求教育。

guiyouran 发表于 2021-3-17 08:22

long6298 发表于 2021-3-17 07:41
我这明显是菜鸟啥也不懂试了试没搞出来，舔着脸求教育。

即使是这样，也是想学习的。:Dweeqw

冥界3大法王 发表于 2021-3-17 08:27

本帖最后由 冥界3大法王 于 2021-3-17 08:34 编辑

写得一塌糊涂。。全是纯粹的模仿。
高手们通常是这样做的：
1.找个原版找到需要破解的位置
2.下个vmp加壳的软件，无论是demo的，还是完整的
不同的选项组合输出不同的代码片段
3.在加壳变异后，查看修改的汇编后的特征点，记录下来
4.最后你上边一通定位和努力后，才能反向写回去反转的代码

没有了字符就不会找{:301_1008:}
关键他不明白先有母鸡，还是先有鸡蛋
API函数相当于母鸡，call子程序相当于母鸡，
窗体才是容器同样是母鸡。
哪个优先级比较高呢？{:301_997:}
这么多母鸡咋就没看到呢？

yoaan 发表于 2021-3-17 08:29

围观学习学习

王成 发表于 2021-3-17 08:30

论坛禁止求破！这点真的不好！很多知识是需要高手指导交流的！

查看完整版本: 关于大佬劝退系列的不死心尝试【已完成】