小白尝试脱壳 【春节红包第三题windwos】
本帖最后由 仿佛_一念成佛 于 2022-2-28 08:14 编辑小白尝试脱壳 【春节红包第三题windwos】
前言
由于这个壳我已经用PEID和DIE查过了,是upx,我这里就不贴图了,直接上操作了
ESP定律
首先把程序拖入到od里,先不要运行F8到下一个地址,可以看到右边的寄存器窗口里的Esp红了,这个时候可以右键在数据窗口中跟随
跟随之后再左下方的hex数据里面的50下一个断点,断点-硬件访问-Word,下完了后运行一下可以发现软件停在这个位置了,这里需要一直F8跟下去,跟个十几次就会跳到软件真正的入口了,目前我发现一个特征是它们都是55。然后点那个地址,右键ollydump就可以把壳脱掉了(应该
不脱壳直接搜索中文字符串
直接搜是搜不出来的,要先使用ctrl+F 到达00401000处,然后再搜就能够显示出中文字符串了,虽然我也不知道原理是什么
不脱壳直接内存里搜索关键字符串
首先软件要先运行起来(按F9),然后点击我指的那个m,就能进入到这个内存界面了(应该是叫这个名字吧。滑倒最上面,点击一直右键搜索,或者快捷键ctrl+B,输入关键词input,点击确定,就能跳到关键词的那个地址里,记下来回到我贴的第一张图里搜索地址然后下一个断点,再后就可以断下来然后慢慢分析了
结语
是了大半天把壳脱掉了还是找不到flag,虽然有个很明显的字符串写着flag。值得一提的是,可以在success语句上面的跳转改为nop或者无条件跳转就可以爆破,但是这个软件的目的并不是爆破,而是获取flag,所以这也没什么用了,后续看一看有没有大佬能够分享一下思路。
已经有大佬分享思路了,脱壳破解区有好多 感觉应该脱壳之后可以试下反编译。
我卡在了脱壳这里,纯小白一枚 看完之后有点启发 感谢 看完之后有学到一些东西 感谢 看看大佬们的文章,接着往下分析分析?
页:
[1]