官方bilibiliWindows破解入门Android逆向入门
【网络诊断修复工具】切换到窄版

吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

吾爱破解 - 52pojie.cn»网站 【 软件安全 】 『脱壳破解区』 『脱壳破解讨论求助区』 请大佬看下这个程序有没有坑,是不是多壳
12下一页
返回列表 发新帖
查看: 4000|回复: 11
收起左侧

[求助] 请大佬看下这个程序有没有坑,是不是多壳

[复制链接]
老泽LZ
老泽LZ 发表于 2021-8-8 20:53
本帖最后由 老泽LZ 于 2021-8-9 00:56 编辑

小白入坑脱壳破解3天,最近想拿某些软件试试手,发现都无从下手,有些疑问请大佬帮忙看下,给点思路也行
(因为是小白,所以有些专业词可能听不懂或没听过,麻烦大佬讲通俗易懂点)






1. 首先打开xx程序,然后点击登录,弹出了信息窗口


程序界面

程序界面

2. 然后查壳(因为我不确定是什么壳,所以查壳软件都用了)
PEiD  :yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
            (截图截早了,PESniffer: Unknown)

Exeinfo PE:未知
DIE : 就直接显示VC


看EP段是svmp5(听说是可以随意修改的?)


查壳.jpg

3.不知道有没有壳,载入OD试试

OD载入.jpg
载入OD,F8 单步跳转①萌新疑问:是不是OEP?(因为看到pushfd,觉得是有壳)
单步.jpg

点M看一下,看到了SFX和svmp区段

猜想:有壳,脱壳试试

EP.jpg
4. 假设有壳
1)采用了单步跟踪:F8到底,都没有机会遇到CALL。凡是遇到向上跳转,一旦F4跳过就会飞跑,所以一路全是F8都无果。
2)采用了ESP定律法:断点后也是单步到没结果
3)最后一次异常法:shift+F9 一次就跑飞
4)2次内存镜像法:第一次断点 .rsrc ,运行,直接跑飞,还跑错,点确定,直接OD被强制关闭
5)SFX法:一重载就跑飞,有时还报错
(以上方法不代表操作无失误)
猜想:是复合壳/强壳,无壳(理想),直接爆破试试



5. 尝试爆破
尝试了找字符串,都找不到关键词,猜想可能是信息窗口
运行载入OD -> 运行 -> 然后点“登录”,弹出信息窗口后 -> OD 里 F12 暂停


暂停定位.jpg

点 K 查堆栈,找到了MessageBox,右键 -> 显示调用


查看堆栈.jpg

到对应的CALL -> F2 下断  -> 重载运行




软件跑起来了,但没有跳到断点的位置,回到刚刚下断点的地方发现断点莫名消失了(弄了几次确定了 不是忘了下断)


重新运行.jpg

尝试硬件断点


硬件断点.jpg

成功运行到关键CALL
单步到 发现JE语句想爆破时,发现右键里没有复制到可执行文件
看到这里地址是08开头,刚载入OD是04开头。之前练习的软件都是004开头,猜想是不是有壳,混淆了





萌新探索到此结束



最近还弄了另外两个软件:
一个是vmp 1.x-2.x 加壳的,在吾爱虚拟机XP系统没法运行,被检测到虚拟机(听说很难)
一个是DNGuard加壳的NET文件,也是不会脱。(没试过NET文件,听说不用OD脱)




疑问如下:
①看到pushad和pushfd是不是就可以确认有壳?
②地址是不是一般是004开头?
③有没有办法确认是不是到OEP?
④vmp怎么过虚拟机检测,有没有教程链接?论坛我搜了很久,不是过期就是无效
⑤NET文件怎么脱壳和爆破,有相关教程链接吗?


大佬能帮忙指点一点是一点,萌新甚是感谢



本文的尝试某软件链接(另外两个软件我想再尝试一下,无果再来求助):
链接:https://pan.baidu.com/s/1AemvH2QnbWfoMkt2j2wRQw
提取码:6oma
运行到信息窗口.jpg
显式调用.jpg

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复

举报

Jx29
Jx29 发表于 2021-8-10 21:05
老泽LZ 发表于 2021-8-10 18:25
那大佬知道DNG的壳怎么脱干净或修复吗,我用de4dot脱完后,dnspy能够显示方法名,但每个方法的内容看不到 ...

.net程序我不熟,加了壳的我更搞不了
我看了下那个加了sp壳的程序,代码被v的不像样,建议直接拖回收站
在吾爱破解的od上方有一个插件栏,里面有api断点设置工具,可以快速下断,并且不用硬件断点

还有,你的查壳程序需要更新了,爱盘里下载链接
【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
回复 支持

举报

董督秀
董督秀 发表于 2021-8-9 00:15
吾爱破解论坛没有任何官方QQ群,禁止留联系方式,禁止任何商业交易。
根据曾经脱过的试炼品:
1.对于vmp 1.x-2.x 加壳的,并且设置检测虚拟机的程序,在实体机上脱壳后正常运行,也可以把脱壳后的成品跨平台在其他实体机运行,但是把脱壳后的成品copy到虚拟机后,双击打不开。OD显示退出128(80)
2.对于新手,dng的壳子有工具脱壳,如果不行也建议放弃……
如何升级?如何获得积分?积分对应解释说明!
回复 支持

举报

董督秀
董督秀 发表于 2021-8-9 00:08
《站点帮助文档》有什么问题来这里看看吧,这里有你想知道的内容!
是sprotect壳,放弃吧。
呼吁大家发布原创作品添加吾爱破解论坛标识!
回复 支持

举报

老泽LZ
 楼主| 老泽LZ 发表于 2021-8-9 00:57
董督秀 发表于 2021-8-9 00:08
是sprotect壳,放弃吧。

是新壳吗?很难脱吗,能不能给个思路?
如何快速判断一个文件是否为病毒!
回复 支持

举报

老泽LZ
 楼主| 老泽LZ 发表于 2021-8-9 01:01
董督秀 发表于 2021-8-9 00:15
根据曾经脱过的试炼品:
1.对于vmp 1.x-2.x 加壳的,并且设置检测虚拟机的程序,在实体机上脱壳后正常运行 ...

在实体机脱壳我怕机子搞没了,所以一般在虚拟机弄,我看有人说有办法可以过检测,不知道怎么实现的。
大佬有脱dng的工具吗?实在找不到。
回复 支持

举报

老泽LZ
 楼主| 老泽LZ 发表于 2021-8-9 20:51
有人能帮忙解答下五个疑问吗?能答一个是一个。
回复 支持

举报

iversonlee
iversonlee 发表于 2021-8-10 01:31
一来就搞个 搞难度  可以 努力
回复 支持

举报

Jx29
Jx29 发表于 2021-8-10 09:01
老泽LZ 发表于 2021-8-9 00:57
是新壳吗?很难脱吗,能不能给个思路?

比vmp还强的壳
回复 支持

举报

老泽LZ
 楼主| 老泽LZ 发表于 2021-8-10 18:25
Jx29 发表于 2021-8-10 09:01
比vmp还强的壳

那大佬知道DNG的壳怎么脱干净或修复吗,我用de4dot脱完后,dnspy能够显示方法名,但每个方法的内容看不到,全是什么“xxxxx DNGuard HVM”
回复 支持

举报

老泽LZ
 楼主| 老泽LZ 发表于 2021-8-10 18:28
iversonlee 发表于 2021-8-10 01:31
一来就搞个 搞难度  可以 努力

没办法,现在的软件基本都是新壳和强壳。。
回复 支持

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-25 00:43

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表