请大佬看下这个程序有没有坑,是不是多壳
本帖最后由 老泽LZ 于 2021-8-9 00:56 编辑小白入坑脱壳破解3天,最近想拿某些软件试试手,发现都无从下手,有些疑问请大佬帮忙看下,给点思路也行
(因为是小白,所以有些专业词可能听不懂或没听过,麻烦大佬讲通俗易懂点){:301_999:}
1. 首先打开xx程序,然后点击登录,弹出了信息窗口
2. 然后查壳(因为我不确定是什么壳,所以查壳软件都用了)
PEiD:yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
(截图截早了,PESniffer: Unknown)
Exeinfo PE:未知
DIE : 就直接显示VC
看EP段是svmp5(听说是可以随意修改的?)
3.不知道有没有壳,载入OD试试
载入OD,F8 单步跳转①萌新疑问:是不是OEP?(因为看到pushfd,觉得是有壳)
点M看一下,看到了SFX和svmp区段
猜想:有壳,脱壳试试
4. 假设有壳
1)采用了单步跟踪:F8到底,都没有机会遇到CALL。凡是遇到向上跳转,一旦F4跳过就会飞跑,所以一路全是F8都无果。
2)采用了ESP定律法:断点后也是单步到没结果
3)最后一次异常法:shift+F9 一次就跑飞
4)2次内存镜像法:第一次断点 .rsrc ,运行,直接跑飞,还跑错,点确定,直接OD被强制关闭
5)SFX法:一重载就跑飞,有时还报错
(以上方法不代表操作无失误)
猜想:是复合壳/强壳,无壳(理想),直接爆破试试
5. 尝试爆破
尝试了找字符串,都找不到关键词,猜想可能是信息窗口
运行载入OD -> 运行 -> 然后点“登录”,弹出信息窗口后 -> OD 里 F12 暂停
点 K 查堆栈,找到了MessageBox,右键 -> 显示调用
到对应的CALL -> F2 下断-> 重载运行
https://attach.52pojie.cn//forum/202108/08/195121gxpdyoxty6dorxrx.jpg?l
软件跑起来了,但没有跳到断点的位置,回到刚刚下断点的地方发现断点莫名消失了(弄了几次确定了 不是忘了下断)
尝试硬件断点
成功运行到关键CALL
单步到 发现JE语句想爆破时,发现右键里没有复制到可执行文件
看到这里地址是08开头,刚载入OD是04开头。之前练习的软件都是004开头,猜想是不是有壳,混淆了
萌新探索到此结束{:301_972:}
最近还弄了另外两个软件:
一个是vmp 1.x-2.x 加壳的,在吾爱虚拟机XP系统没法运行,被检测到虚拟机(听说很难)
一个是DNGuard加壳的NET文件,也是不会脱。(没试过NET文件,听说不用OD脱)
疑问如下:
①看到pushad和pushfd是不是就可以确认有壳?
②地址是不是一般是004开头?
③有没有办法确认是不是到OEP?
④vmp怎么过虚拟机检测,有没有教程链接?论坛我搜了很久,不是过期就是无效
⑤NET文件怎么脱壳和爆破,有相关教程链接吗?
大佬能帮忙指点一点是一点,萌新甚是感谢{:301_997:}
本文的尝试某软件链接(另外两个软件我想再尝试一下,无果再来求助):
链接:https://pan.baidu.com/s/1AemvH2QnbWfoMkt2j2wRQw
提取码:6oma
老泽LZ 发表于 2021-8-10 18:25
那大佬知道DNG的壳怎么脱干净或修复吗,我用de4dot脱完后,dnspy能够显示方法名,但每个方法的内容看不到 ...
.net程序我不熟,加了壳的我更搞不了
我看了下那个加了sp壳的程序,代码被v的不像样,建议直接拖回收站
在吾爱破解的od上方有一个插件栏,里面有api断点设置工具,可以快速下断,并且不用硬件断点
https://tchd.xyz/usr/uploads/2021/08/2999137033.png
还有,你的查壳程序需要更新了,爱盘里下载链接
根据曾经脱过的试炼品:
1.对于vmp 1.x-2.x 加壳的,并且设置检测虚拟机的程序,在实体机上脱壳后正常运行,也可以把脱壳后的成品跨平台在其他实体机运行,但是把脱壳后的成品copy到虚拟机后,双击打不开。OD显示退出128(80)
2.对于新手,dng的壳子有工具脱壳,如果不行也建议放弃…… 是sprotect壳,放弃吧。 董督秀 发表于 2021-8-9 00:08
是sprotect壳,放弃吧。
是新壳吗?很难脱吗,能不能给个思路? 董督秀 发表于 2021-8-9 00:15
根据曾经脱过的试炼品:
1.对于vmp 1.x-2.x 加壳的,并且设置检测虚拟机的程序,在实体机上脱壳后正常运行 ...
在实体机脱壳我怕机子搞没了,所以一般在虚拟机弄,我看有人说有办法可以过检测,不知道怎么实现的。
大佬有脱dng的工具吗?实在找不到。 有人能帮忙解答下五个疑问吗?能答一个是一个。 一来就搞个 搞难度可以 努力 老泽LZ 发表于 2021-8-9 00:57
是新壳吗?很难脱吗,能不能给个思路?
比vmp还强的壳 Jx29 发表于 2021-8-10 09:01
比vmp还强的壳
那大佬知道DNG的壳怎么脱干净或修复吗,我用de4dot脱完后,dnspy能够显示方法名,但每个方法的内容看不到,全是什么“xxxxx DNGuard HVM” iversonlee 发表于 2021-8-10 01:31
一来就搞个 搞难度可以 努力
没办法,现在的软件基本都是新壳和强壳。。
页:
[1]
2