破解后的程序运行25秒自动销毁

linux1997

小白的第一次破解记录,经过查壳无壳,程序是c++写的

程序原理是在当前文件夹有一个注册码.txt的文本文档,里面存放着注册码
通过暴力破解,注册码不正确也可以进入功能界面,但是正在欢喜的时刻,突然发现每次打开程序的时候,会删除当下程序并生成一个随机名的程序,破解后的程序运行25s之后则自我销毁

刚开始通过查询字符串 想要找settimer 后来没有发现踪迹 也没有找到关于25秒的信息

看到论坛有人说bp ExitProcess 成功断点后 发现
其中有三个call,目测获取当前线程,强制关闭线程,和退出线程
在前后没有发现触发jmp的跳转,ret后程序也将无法正常使用 卡死直至退出.

我通过正常的流程走过一遍,日志里发现,正常的话  线程会退出  并重新启动线程  但是是在ntdll中进行


破解后的程序则是线程会退出  不重启线程 并且程序也退出



新人小白,希望大神能够指教指教,谢谢!

linux1997

1501814246 发表于 2021-1-31 21:05
我系统64位的运行不了32位 没有32位的吗

od没办法打开 我用的是x64dbg

linux1997

冥界3大法王 发表于 2021-2-1 23:55
总有开始与结束的区间吧，多动脑子思考问题。
想想哪些是必然发生的事件？哪些是结束前必然发生的。
你怎 ...

因为我多次打开程序计时 发现就是在25秒区间来定时结束的 所以我推算出是25秒回结束进程
因为刚刚接触破解  好多知识并不充分  也有很多知识盲区 所以发到论坛上 请各位讨论讨论  提供点思路

1501814246

程序发上来

linux1997

1501814246 发表于 2021-1-31 20:44
程序发上来

程序已上传到蓝奏云  
https://wwa.lanzouj.com/i9xFOl58fnc  

1501814246

linux1997 发表于 2021-1-31 20:52
程序已上传到蓝奏云  
https://wwa.lanzouj.com/i9xFOl58fnc

你上传到上破解后的吗

linux1997

1501814246 发表于 2021-1-31 20:58
你上传到上破解后的吗

https://wwa.lanzouj.com/ifx5Vl591cd
这个是原版程序

1501814246

linux1997 发表于 2021-1-31 20:52
程序已上传到蓝奏云  
https://wwa.lanzouj.com/i9xFOl58fnc

我系统64位的运行不了32位 没有32位的吗

linux1997

1501814246 发表于 2021-1-31 21:05
我系统64位的运行不了32位 没有32位的吗

没有 我用的是x64dbg调试的

无闻无问

断下后，你要回溯到程序领空，找引起退出的关键位置…线程创建，退出肯定要经过ntdll啊，它是中转嘛，不奇怪…

linux1997

无闻无问 发表于 2021-1-31 22:22
断下后，你要回溯到程序领空，找引起退出的关键位置…线程创建，退出肯定要经过ntdll啊，它是中转嘛，不奇 ...

第一张图是已经溯到了程序领空 可是没有发现触发的关键位置...