CrackMe 1x
本帖最后由 20230713G001133 于 2024-4-3 12:32 编辑要求:修改音乐
提示:需要LordPE或其他可以修改PE区段的程序
注意:只能运行在64位系统上
lanzouw.com/iRNtV1tppv9g
密码:3sv5 本帖最后由 20230713G001133 于 2024-4-3 17:34 编辑
首先用LordPE打开这个程序,在区段表中有一个.rmnet区段
音乐文件和MPG123就在这个区段里面
将这个区段保存到磁盘
用WinHex打开这个区段,如图所示
前面的17280D281D2811281E2812281228032811281B280A281D280000250E51C85B71022A08是这个区段的标识(RMNET-BEGIN)
这里的0B280A280728112812281228032811281B280A281D280000
是这个程序定位MP3文件的标识(FILE-BEGIN)
MP3直接是明文存储的,可以直接查看到后面的ID3
在文件的第5242992字节处有一个01280F280F2812281228032811281B280A281D280000
这个是程序用于定位MPG123程序的标识(APP-BEGIN)
这个MPG123程序也是没有加密的,可以直接看到EXE文件的标志性特征This program cannot be run in DOS mode.
下面的是这个程序的源代码
```
.版本 2
.子程序 _启动子程序, 整数型, , 本子程序在程序启动后最先执行
.局部变量 a, 字节集
.局部变量 c, 整数型
a = 读入文件 (取运行目录 () + “\” + 取执行文件名 ())
c = 寻找字节集 (a, #Rmnet_Begin + { 37, 14, 81, 200, 91, 113, 2, 42, 8, 0, 0, 0, 0, 0 }, 740000)
写到文件 (取运行目录 () + “\Boot.mp3”, 取字节集中间 (a, 寻找字节集 (a, #File_Begin, c) + 24, 寻找字节集 (a, #File_End, c) + 19))
写到文件 (取运行目录 () + “\mpg123.exe”, 取字节集中间 (a, 寻找字节集 (a, #App_Begin, c) + 22, 寻找字节集 (a, #App_End, c)))
运行 (取运行目录 () + “\mpg123.exe boot.mp3”, 真, )
返回 (0)' 可以根据您的需要返回任意数值
```
页:
[1]