动态地址解析卡壳篇
本帖最后由 whj0601 于 2022-1-24 12:57 编辑本次分析的主要目的是绕过错误对话框,如有分析不对地方请大神指点。
https://attach.52pojie.cn//forum/202201/22/233935rmbdvmqebtv71zzt.png?l
过PEID查壳显示,软件应该是vc程序。
直接用OD打开,显示入口地址为0040FFEF,
https://attach.52pojie.cn//forum/202201/22/231715o7cc7ccel3oczk2c.png?l
途径一:直接进行中文搜索引擎--》智能搜索,无法搜索中文字符,此方法不行。
途径二:下断点,通过API断点设置工具,对对话框函数中的messageboxexa和messagebosexw进行勾选。
https://attach.52pojie.cn//forum/202201/22/233934xf8f53vv882zlo3j.jpg?l
F9运行,断在user32的子程序模块,右下角也出现错误提示“未检测……”的错误对话框里面的内容。
https://attach.52pojie.cn//forum/202201/22/232707wyktg2vz2cppgmm2.jpg?l
点M按钮进入内存搜索,
https://attach.52pojie.cn//forum/202201/22/233937vnuuxydxox3bcn55.jpg?l
通过内存查找ASCII中的未检测无法查到内容,
https://attach.52pojie.cn//forum/202201/22/233939djclkcoqxo9448mc.jpg?l
通过HEX查找2A67C068,可以查到数据地址为02896F68.
https://attach.52pojie.cn//forum/202201/22/233932qb1tcbixepdidp1z.jpg?l
转到这个地址没有找到关键信息。
https://attach.52pojie.cn//forum/202201/22/233932wunl2nijax2ix1l2.png?l
按照惯例在内存地址中下断,运行软件。但也找不到关键信息,
再次运行后,由于内存地址变化无法下断。也找不到关键跳。
此路径失败。
如果在API中断时继续F8运行回到程序领空看看结果。
https://attach.52pojie.cn//forum/202201/22/235137uhhs3s6etspot883.jpg?l
回到08184B5F地址,发现上面有跳转语句,下断。
但是由于地址是动态地址,再次F9运行后不会运行到下断地址,
并且修改后也不能保存。
至此,寻找关键跳位置失败。
几个问题请教大家:
一是内存访问下断后怎么进行下一步操作;
二是如何克服动态地址的问题,每运行一次都无法下断,
同时也通过进入00401000地址后分析,也没有得到解决。
三是关键位置还可以通过什么进行查找。
软件奉上https://pan.baidu.com/s/1BE7bY88F44Z6bodQiW5oXw?
提取码:snaq
请各位大佬指点。 贴图有问题,看这个学习下怎么贴图,然后编辑下帖子吧https://www.52pojie.cn/misc.php?mod=faq&action=faq&id=29&messageid=36 Hmily 发表于 2022-1-24 10:59
贴图有问题,看这个学习下怎么贴图,然后编辑下帖子吧https://www.52pojie.cn/misc.php?mod=faq&action=faq ...
请壮士提点解题思路。{:1_893:}{:1_893:} 看来你们也没法。{:1_925:} 春节快乐 大家有新解析思路没? 不会是有壳吧? 一直绕不开的问题 真的方向错了?
页:
[1]