被VM掉的MessageBox代码要怎么找爆破点, 与珈蓝夜雨
本帖最后由 amonsonic 于 2022-4-11 08:54 编辑VMP3的壳
007B57D6 /78 54 js short .007B582C
007B57D8 |6d ins dword ptr es:,dx
007B57D9 |1AF8 sbb bh,al
007B57DB |A8 80 test al,0x80
007B57DD |BC A7632414 mov esp,0x142463A7
007B57E2 |89EA mov edx,ebp
007B57E4 |A9 7437EDE6 test eax,0xE6ED3774
007B57E9 |6255 0F bound edx,qword ptr ss:
007B57EC |c8 e953 74 enter 0x53e9,0x74
007B57F0 |16 push ss
007B57F1 |00FF add bh,bh
007B57F3 |15 28B65200 adc eax,<&USER32.MessageBoxA>
xxxxx
f12暂停法后断在下一巨xxxx上
问题如下:
1.程序无法od直接运行
2.od附加后会失去响应
3.必须在输入框中输入假注册码, 这个时候附加程序才不会卡死 (原理未知)
4.msgbox返回程序领空, 上面的代码段(被VM的乱码)中是无法下断的, od会提示在代码段以外下段会有xxx问题等等提示.
我下cc断点后, f9 程序直接崩溃
甚至是硬件执行断到adc ecx, MessageBoxA 上, 也不会被断下!!
意味着无法下断
5.我把程序回溯向上翻, 在可以下断的地方下断又段不下来, jmp jz jgl 都不会被断下
6.程序是易语言程序, 窗口标题为WTWindow, 但是是去伐找到特征码跳转表来push窗体, ff25找到个个毛线, 没有跳转表 , 甚至搜索push 1001都被vm掉了
我甚至怀疑这不是易语言写的程序了, 因为搜索到的字符串中没有明显的易语言特征码, 其实连注册失败等的提示也没有, 都别vm掉和加密掉了 (部分字符串是hex)
7.珈蓝夜雨为什么在这个地方爆破, 原理是什么
@珈蓝夜雨
还有珈蓝夜雨的很多课程, 都缺少课件, 谁有备份可以发给一下谢了
8.我要怎么办?
总不能撞豆腐死了suanle
9.
易语言 + VMP3
要去掉登陆验证窗体
(经测试无法push窗体, 代码被VM掉了)
bp recv下端后, 返回地址也被vm乱码了 , 一大堆跳转
程序下载:
链接:https://pan.baidu.com/s/1EVinurpZnHJgW-Qv_UOJXg
提取码:mln5
很棒,但是我看不懂 软件发上来 断桥隔爱 发表于 2022-4-10 22:18
软件发上来
按照你要求我上传了,
易语言+vmp 瑞科的验证 自己官网去山寨{:301_991:} 52bug 发表于 2022-4-11 22:36
瑞科的验证 自己官网去山寨
tell me, what is 瑞科? 啊,网络验证啊,论坛有个VMP的分析插件,试试这个
页:
[1]