新手逆向提问

zhiyuckt · 发表于 2024-8-19 23:07

今天看破解实战第二课（破解实战-第二战 - 『脱壳破解区』 - 吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn）时，看到楼主说提前对该软件进行分析，这里不知道是怎么分析软件具体调用的DLL以及相关的函数功能，笔者在OD中也只看到RUNEXEC.dll，并没有看到SthClass.dll，想知道楼主是如何进行相关分析的，以及以后遇到这种类似软件要怎么操作呢。谢谢各位师傅了

爱飞的猫 · 发表于 2024-8-20 04:46

第二点:AuthReg.exe为注册程序，验证函数在SthClass.dll里，如果成功，则保存注册码。

合理怀疑只有当执行「AuthReg.exe」时会导入该 DLL。

看你调试器截图显示的是「Courseware2.exe」，符合文章中说的：

第一点:Courseware2.exe，play.exe运行之前会调用RUNEXEC.dll。

liaoticai · 发表于 2024-8-20 08:32

学这些好难吧

虚幻魔王 · 发表于 2024-8-20 08:49

以RAR为例，安装用OD载入，逐步跟入，能发现：1、主执行程序RAR.EXE安装程序与注册表添加键值为同一程序，卸载程序独立，其他均为其他功能程序。分析方法：1、字符分析，智能注释，2、根据载入节点，配合文件名，以及文件二次载入分析文件内字符判断。

虚幻魔王 · 发表于 2024-8-20 08:51

另外提醒一下，练手找简单的程序玩，别上来就玩啥VM 带壳改内容，还有啥花指令，自定义密文的，会让你直接跳天填坑永远爬不出来。

kevinZ0 · 发表于 2024-8-20 09:42

有点难度

zhiyuckt · 发表于 2024-8-20 18:47

爱飞的猫发表于 2024-8-20 04:46
合理怀疑只有当执行「AuthReg.exe」时会导入该 DLL。

看你调试器截图显示的是「Courseware2.exe」， ...

拉入od后发现还真 AuthReg.exe 加载了该DLL，多谢师傅解惑

zhiyuckt · 发表于 2024-8-20 18:48

虚幻魔王发表于 2024-8-20 08:49
以RAR为例，安装用OD载入，逐步跟入，能发现：1、主执行程序RAR.EXE安装程序与注册表添加键值为同一程序， ...

光是这段文字就觉得头大了，学习路上任重而道远啊.. 多谢师傅解答

zhiyuckt · 发表于 2024-8-20 18:49

虚幻魔王发表于 2024-8-20 08:51
另外提醒一下，练手找简单的程序玩，别上来就玩啥VM 带壳改内容，还有啥花指令，自定义密文的，会让你直接 ...

好的，我也只是看到这篇文章跟着步骤走，接着就发现这个问题想问问看

谢谢师傅指点

帐号		自动登录	找回密码
密码			注册[Register]

[新手问题] 新手逆向提问