网站 › 『脱壳破解区』 › 某吾爱的ReverseMe追码分析 ——内存写入法 by cqr2287

KaQqi 发表于 2016-11-13 13:47

某吾爱的ReverseMe追码分析 ——内存写入法 by cqr2287

本帖最后由 cqr2287 于 2016-11-18 16:11 编辑

软件地址：http://www.52pojie.cn/thread-550618-1-1.html、
文章作者：cqr2287/cqr2003


static/image/hrline/2.gif
一个追码的cm。
查壳，vmp。

对于这种cm，最好的方法是内存写入法。
输入账号 52pojie，密码cqr2287.
登录弹错，内存搜索52pojie以及cqr2287.
在附近找到错误提示的立即数。
01334DEC57 61 72 69 6E 67 00 00 75 73 65 72 20 6E 61 6DWaring..user nam
01334DFC65 20 6F 72 20 70 61 73 73 77 6F 72 64 20 65 72e or password er
01334E0C72 6F 72 21                                    ror!

在错误提示下内存访问断点。
f9运行，账号52pojie密码cqr2287.
断下f8跟到程序领空。
013321AB    53            push ebx
013321AC    8D4424 30       lea eax,dword ptr ss:
013321B0    68 1C4E3301   push login.01334E1C                      ; 52pojie.cn
013321B5    50            push eax
013321B6    895C24 24       mov dword ptr ss:,ebx
013321BA    E8 71F6FFFF   call login.01331830
013321BF    83C4 0C         add esp,0xC
013321C2    8BF8            mov edi,eax
013321C4    8B56 14         mov edx,dword ptr ds:
013321C7    57            push edi
013321C8    E8 8A460100   call login.01346857
013321CD    8D4C24 28       lea ecx,dword ptr ss:
013321D1    895C24 40       mov dword ptr ss:,ebx
013321D5    51            push ecx
013321D6    8B4A 08         mov ecx,dword ptr ds:
013321D9    BB 01000000   mov ebx,0x1
013321DE    895C24 1C       mov dword ptr ss:,ebx
013321E2    FFD5            call ebp
013321E4    8D4C24 24       lea ecx,dword ptr ss:
013321E8    51            push ecx
013321E9    8BC8            mov ecx,eax
013321EB    895C24 44       mov dword ptr ss:,ebx
013321EF    C74424 1C 03000>mov dword ptr ss:,0x3
013321F7    E8 33940100   call login.0134B62F
013321FC    4F            dec edi
013321FD    57            push edi
013321FE    5F            pop edi                                  ; ntdll.77476A28
013321FF    E8 A6440100   call login.013466AA
01332204    BB 07000000   mov ebx,0x7
01332209    8BC8            mov ecx,eax
0133220B    C74424 44 02000>mov dword ptr ss:,0x2
01332213    895C24 1C       mov dword ptr ss:,ebx
01332217    FFD7            call edi
01332219    84C0            test al,al
0133221B    74 58         je short login.01332275
0133221D    6A 00         push 0x0
0133221F    8D5424 24       lea edx,dword ptr ss:
01332223    68 144E3301   push login.01334E14                      ; 123456
01332228    52            push edx
01332229    E8 02F6FFFF   call login.01331830

回溯找到正确注册码。
账号52pojie，密码123456.

static/image/hrline/2.gif
@liyisker
vmp是没什么用的。以后想加密可以来个声东击西
弄两个错误提示，然后我们内存搜索就找不到哪个是真正的了。

牛盲 发表于 2016-11-13 14:17

YY168 发表于 2016-11-13 14:28

seaneo 发表于 2016-11-13 14:51

好文学习

我是邹军泽 发表于 2016-11-13 15:36

亲啊 你确定在账号密码 那输入假码内存中能搜到吗？ 可能你假码账号正好是52pojie的原因啊。

123-木头人 发表于 2016-11-13 17:45

学习一下

fengh 发表于 2016-11-15 18:57

继续学习，努力

hhhochai 发表于 2016-11-19 01:06

谢谢分享~~~

查看完整版本: 某吾爱的ReverseMe追码分析 ——内存写入法 by cqr2287