Jian丶ylt 发表于 2015-10-4 21:58

简单自校验去除方法

声明:本帖转载自ximo【脱壳教程12课:去除自校验方法】的视频教程,只是把视频变成了文档形式,仅供学习交流,觉得不错的请不要吝惜您的热心值。
去除自校验方法一、      自校验定义:这些程序会检查自己有没有被修改,如果发现被修改的话,便会离开或进行其它动作。基本的校检方法包括 checksum, 检查大小, 检查跳转代码,等等。对于我们而言,如果脱壳后的程序运行起来跟脱壳前的程序运行起来不一样,基本上就可以断定为程序增加了自校验机制。二、      自校验示例:file:///C:\Users\ADMINI~1\AppData\Local\Temp\msohtmlclip1\01\clip_image002.jpgfile:///C:\Users\ADMINI~1\AppData\Local\Temp\msohtmlclip1\01\clip_image004.jpg三、如何去除自校验:1.   先进行OD脱壳注:脱壳完毕后停留在脱壳界面,不要把OD关闭2.   再开启一个OD,打开脱壳后的程序3.   两个程序同时下断点bp CreateFileA然后分别点击运行(F9)注:在win7环境下无法OD无法使用这个命令进行断点,只要Ctrl+G, 输入"kernel32.CreateFileA",我们就可以定位到kernel32的CreateFileA了file:///C:\Users\ADMINI~1\AppData\Local\Temp\msohtmlclip1\01\clip_image006.jpg4.   两个OD都点击【Alt+F9】执行到用户代码5.   两边同时单步(F8)往下走,查看两个程序是否有不一样的跳转(比如一个实现了一个没实现)file:///C:\Users\ADMINI~1\AppData\Local\Temp\msohtmlclip1\01\clip_image008.jpgfile:///C:\Users\ADMINI~1\AppData\Local\Temp\msohtmlclip1\01\clip_image010.jpg6.   接下来我们要做的就是把脱壳后的文件的跳转让它不实现就可以了①          最简单的方法就是直接把脱壳后的程序那里的跳转给NOP掉file:///C:\Users\ADMINI~1\AppData\Local\Temp\msohtmlclip1\01\clip_image012.jpg②观察跳转的上一行汇编代码cmpeax,dword prt ss:,这是汇编代码,意思是eax和dwort进行比较,如果不相等就跳转,相等就不跳转,不懂可以百度,把它改成cmp eax,eax就可以了file:///C:\Users\ADMINI~1\AppData\Local\Temp\msohtmlclip1\01\clip_image014.jpg③或者把jnz改成je或jz也可以,具体的意思可以去百度一下file:///C:\Users\ADMINI~1\AppData\Local\Temp\msohtmlclip1\01\clip_image016.jpg7.   然后保存退出ODfile:///C:\Users\ADMINI~1\AppData\Local\Temp\msohtmlclip1\01\clip_image018.jpg8.   再次执行脱壳后的文件,OK,成功了file:///C:\Users\ADMINI~1\AppData\Local\Temp\msohtmlclip1\01\clip_image020.jpg

可能图片不能正常显示,我也不知道为啥,知道的朋友可以说一下,在此附上整理好的文档连接,喜欢的朋友请热心值点赞链接:http://pan.baidu.com/s/1o65qAaI 密码:58ai



spguangz 发表于 2015-10-4 22:37

Jian丶ylt 发表于 2015-10-4 22:28
不知道为啥我图片弄不上去
直接发图和添加图片连接都没用

如果是在1楼插图




如果在其他楼回复插图



再加上
上面的图1-图3

不是易如反掌吗?

Jian丶ylt 发表于 2015-10-4 22:31

酒醒黄昏 发表于 2015-10-4 22:03
图片全挂了   在编辑哪里选择附件上传图片点击添加 确定在最后编辑帖子

感谢告知

Jian丶ylt 发表于 2015-10-4 22:00

为啥我的图片就显示不出来呢{:301_999:}

酒醒黄昏 发表于 2015-10-4 22:03

本帖最后由 酒醒黄昏 于 2015-10-4 22:04 编辑

图片全挂了   在编辑哪里选择附件上传图片点击添加 确定在最后编辑帖子

红颜世家、 发表于 2015-10-4 22:03

图片是本地图片....

木木头上 发表于 2015-10-4 22:12

红颜世家、 发表于 2015-10-4 22:03
图片是本地图片....

图片需要上传的

榻榻米 发表于 2015-10-4 22:18

图片需要你全部手动上传然后插入到帖子里的这样才能看得到!

wakichie 发表于 2015-10-4 22:19

说好的图呢?

spguangz 发表于 2015-10-4 22:25

我发现你每次发帖都不会弄图片,,,{:301_992:}
够任性

Jian丶ylt 发表于 2015-10-4 22:28

spguangz 发表于 2015-10-4 22:25
我发现你每次发帖都不会弄图片,,,
够任性

不知道为啥我图片弄不上去{:301_1008:}
直接发图和添加图片连接都没用
页: [1] 2
查看完整版本: 简单自校验去除方法


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn