请求大神们教一下这是什么壳,以及突破这种类似壳类似的教程和方法
新手小白,遇到一个分辨不出是什么壳,用了push大法但是无效= =想请求大神们教一下这是什么壳,以及突破这种类似壳类似的教程和方法,当练手了 查壳工具用了么 应该有教学视频的还有工具全套的 你找找 本帖最后由 成熟的美羊羊 于 2021-4-3 21:47 编辑看壳需要有PE的基础 , 因为可以看 节 , 代码执行入口(OEP)有没有不对劲的地方
你给我们看易语言本身的代码段(就是可以执行的地方) , 我觉得就是大罗金仙都不知道是啥壳 , 爱盘里的查壳工具 PEiD:https://down.52pojie.cn/Tools/PEtools/PEiD%200.95.zip
防守的方法: push大法的弊端很多 , 不知道咋讲 ,
1. 可能窗口不是易语言的(因为易语言把窗口ID也封装在易语言文件中了 , 所以有了push大法)
2. 功能窗口有校验(这个是最容易实现的)
3. 功能其实就在这个窗口里,只是控件被隐藏起来了(因为push大法搜索的是窗口 , 不是控件),当Key正确时(你输入的卡密之类的正确时)控件显示出来 , 同时编辑框(就是要输入卡密的控件)隐藏掉 ,
4. 功能不在这个文件里 , 可能是释放文件(也可以直接在内存中加载)其实还有很多方法可以躲避掉push大法 ,讲不完的 , push大法也可以针对这些操作进行一系列的优化,但是代价大,因为鬼知道那些作者是否突发奇想 , 写出了另类的防push法
以上小白所知道的防止被push大法push的方法 , 大佬飘过就好
攻击的方法:(确定是有易语言功能窗口):
在内存中 .rdata段(数据段 )搜索易语言窗口ID(指主窗口 , 这里搜索的窗口ID是小端存储的 如:0x52010001 , 就搜索 0x01000152) , 因为易语言把窗口ID封装在了一起 , 找到了主窗口ID存放的地址 , 往上翻4字节 , 往下翻4字节 , 将会有其他几个易语言窗口(如果窗口只有两个的话, 会有一个功能窗口) , 自行扩展吧 ,毕竟我是一个小白
这个攻击方法是建立在 , 楼主是 用push大法 , 查到了假的功能窗口 , 但是真的功能窗口被隐藏的 我也不懂! Exeinfo PE用了吗
页:
[1]