软件关闭后会弹出网页的问题
本帖最后由 及时雨 于 2021-5-30 20:26 编辑软件加了nspack壳,脱壳修复补数据。搞定后!
软件关闭程序后会弹出一个网页,OD载入后看入口像是vc6。运行,下断点:CreateProcessA (因为我学到的那些断点都无法断下来){:1_907:}
运行,关闭。断下来后!
在堆栈窗口找到那个call, Enter键 回到反汇编窗口后
接着去尝试着NOP那个堆栈窗口Enter到反汇编窗口的地方
之后复制可执行文件,结果就是
思考许久是不是地址是动态的?(猜的)
看到krnln 有点像易语言
前往模块窗口
确定了应该是E语言程序({:1_925:})
堆栈窗口我往上翻了一下,看到了中这个内容,应该是程序调用系统里面的命令来执行的这个URL打开的吧(不懂乱猜的)
尝试着F8单步向下走,进call一直都是在那个模块里面走着,再找到那个弹URL网站的关键地方再NOP掉,再来复制可执行文件,哈哈接下来就是可以保存DLL啦。(又懵了)
问题:
1.如果是易语言程序的话,那个这款软件是独立编译 还是 非独立编译。(这不是今天帖子要解决的问题,只是好奇,大佬们愿意解答的话可以说说看,这个不需要太详细。)
2.如何再那个上面提到的 F8单步往下进入call里面最后NOP掉保存DLL来解决URL弹窗的问题(不知道能不能,如果能的话,想知道是如何操作的)
3.是不是可以用其他更好的断点方式来做解决这个问题,如果是的话。求助!
题外话: 再下载断点CreateProcessA的时候,发现第一次运行的时候会出现直接断下来。
估计他这个E语言编写的程序中调用的人家模块也有URL的添加收藏功能。
因为我进去看了一下保存到了C:\Users\admin\Favorites\XXX.url
这个之后在来接着研究,{:1_926:}
软件:https://pan.baidu.com/s/1xfIIEXsPAbP6IflvcNeJrg 提取码:52pj
解压缩密码:www.52pojie.cn
已经脱壳啦,大佬又时间可以帮忙做一下解答!过程重要
软件您改好了,不用发给我。
我在学习吾爱入门教学培训第一期与ximo早期发的脱壳基础,然后找到了这款软件,想实战一下!
视频中的都是在程序领空nop、retn的,这个软件就不知道跑哪里去了 问题解决了,下断点:CreateProcessA
找到堆栈窗口后,再找与程序领空最近的一次地址,(这个是应该程序要做判断之类的call,这样应该就快接近了)
然后enter返回反汇编窗口往上找
0041AED6/$55 push ebp 下断点 然后把之前的那些断点禁用,程序重新跑一下。
果然断下来了
那就是这个call 里面有文章了
再单步F8走一下,看到这里
虽然不知道这里是干什么用的,但是有点像是给程序弹出URL那个给值吧?
不管三七二十一 反正现在还是在程序领空 nop了 试试再说,
结果就是 搞定了!{:1_907:}
页:
[1]