第一次发CM 给各位助助兴
易语言编写,upx壳答案很多,可多次尝试
我也不知道楼主挪的位置是多少,随便挪一下能看见就行了{:17_1062:}
3D28242030496F6A63
本帖最后由 XKQ 于 2021-11-30 12:40 编辑
心中的沉默 发表于 2021-11-29 21:04
分享一下思路
好久没碰过od了,也没啥很清晰的思路,upx直接upx -d解压缩,就是按按钮后会触发一些事件,好像会自动重启,然后就想到了命令行,因为我以前做cm也搞过这样的
之后带命令行分析启动事件果然是取了命令行
之后既然是易语言的程序肯定丢去分析一波
然后就是单步分析,这里对比了右边9位的文本,多次研究是固定的那就直接固定就行了
这里取了左边的几位文本哪几位看取到的结果就行了,哪几位能看出来的,然后补足长度再次输入分析
这里直接插件分析出来是位异或了,左边的取到的文本字节和0XE10位异或得到的结果直接作为一个字节放到字节集里,至于为什么知道是字节直接到文本直接看位异或后的结果和这里 到文本 的参数内容就能猜出来了
然后这里到整数后好像设置了个啥,我也不知道设置的是啥,但是我可以猜啊,可以试一下啊,到整数给一个能到整数的文本就行了,然后就发现显示的窗口内容移动了,我就猜是不是成功提示藏在窗口里的
接下来分析一下窗口,唉,我看到了啥
然后也知道是输入的内容作为十六进制字节集和0XE10位异或后的结果移动窗口,窗口位置也知道了,那就是随便构造一个坐标然后转换进去就行了,我用了-840吧,转成字节集后位异或后以十六进制显示出来,然后加上后面固定的那几个字就行了
本帖最后由 weikun444 于 2021-11-28 10:42 编辑
哎,输入个52pojie,还没截图,假的{:1_909:}{:1_909:}{:1_909:}
2D88和100C跟了一会,没有明显发现!
还是没有明显的思路,说说这个字符串的来历:(虽然楼主强调,这是彩蛋,可能是无用字串)
2522607F7A79750496F6A63
第一部分:(我用空格隔开,好看)
25 22 60 7F 7A 79 75
35 32 70 6F 6A 69 65
下面这行是52pojie字母assic码,对照容易发现上边的是下边的每个减1
第二部分:0496F6A63
经F8跟踪,这是cls字符串MD5后的3至11位。
再者,楼主在“猜猜我在这里留了什么”那部分还没看懂,无奈,不懂算法!
还有感觉按钮地址会变,0018F744,感觉如果能找到这里的赋值,就可以避过下方的“真的码”及以后的动画!
weikun444 发表于 2021-11-27 15:14
哎,输入个52pojie,还没截图,假的
恭喜触发彩蛋 weikun444 发表于 2021-11-27 15:14
哎,输入个52pojie,还没截图,假的
2D88和100C跟了一会,没有明显发现!
加油,相信自己,就一个彩蛋你已经触发了,下一个就成功了 几分钟搞定 cpujazz 发表于 2021-11-27 18:06
几分钟搞定
这个是假窗口 qwe12344 发表于 2021-11-27 18:59
研究下 感谢分享
我觉得你搞不定