小白脱壳追码记(高手请绕道)
小弟学习逆向几天了,今天拿来一个小软件练手。以下是脱壳追码过程,高手请绕道。呵呵……1、查壳,发现是UPX壳2、载入OD,手动脱壳(用著名的ESP大法^-^)
终于来到OEP了,哈哈,接下来就手动脱壳啦
保存后就没有壳了!
3、OD载入脱壳后的程序,开始追码
F9运行程序,根据“注册码错误”查找字符串
找到相应的字符串后,双击跟进
向上找到关键跳
F7跟进关键CALL,单步几下,堆栈窗口中就出现注册码了!
最后有个问题想请教大家,下图中的文字我始终无法修改!!
@wjgboy 赶紧把你那peid换成原版吧,那改版权简直太无耻了,什么都没弄就把标题和图片换成广告了,要么用Exeinfo Pe也很推荐。
你的字符串修改问题可以通过资源编辑工具修改:
Hmily 发表于 2018-2-26 17:34
@wjgboy 赶紧把你那peid换成原版吧,那改版权简直太无耻了,什么都没弄就把标题和图片换成广告了,要么用Ex ...
支持hmily,有些人总是乱改别人的软件,例子我们都应该知道
谢楼主分享 在数据窗口修改 收藏了,有时间我也来追追 byh3025 发表于 2018-2-25 21:40
在数据窗口修改
我一直没找到修改的地方,请您详细指教。 wjgboy 发表于 2018-2-25 21:42
我一直没找到修改的地方,请您详细指教。
你有没有搜索到你要修改的字符串? byh3025 发表于 2018-2-25 21:58
你有没有搜索到你要修改的字符串?
没有,数据窗口中也搜索不到。 wjgboy 发表于 2018-2-25 22:03
没有,数据窗口中也搜索不到。
在内存中搜索试下 看完你的ESP脱壳就知道你没学仔细
找到OEP删除硬件断点的记录没有做
之后是尽量不用OD自带的脱壳程序 使用PE修复函数把 跌宕起伏 发表于 2018-2-25 22:15
看完你的ESP脱壳就知道你没学仔细
谢谢!以后我一定注意。