好友
阅读权限10
听众
最后登录1970-1-1
|
无谓
发表于 2008-6-3 21:59
首先::PEID
‘什么也没发现’
未知壳。。
OD载入:停在系统领空(OD提示**不是WIN可执行程序)
7C921231 C3 retn
7C921232 8BFF mov edi,edi
7C921234 90 nop
7C921235 90 nop
7C921236 90 nop
7C921237 90 nop
7C921238 90 nop
7C921239 n> CC int3
7C92123A C3 retn
7C92123B 90 nop
7C92123C 8BFF mov edi,edi
晕啦。。。以前没见过
好。。。。CTRL+M
内存映射,项目 13
地址=00400000
大小=00007000 (28672.)
Owner=crackme 00400000 (itself)
区段=
包含=PE header
类型=Imag 01001002
访问=R
初始访问=RWE
下断。。。F9到下面
00405905 894E F3 mov dword ptr ds:[esi-D],ecx
00405908 83EE 0F sub esi,0F
0040590B 56 push esi
0040590C 52 push edx
0040590D 8BF0 mov esi,eax
0040590F AD lods dword ptr ds:[esi]
00405910 AD lods dword ptr ds:[esi]
00405911 03C2 add eax,edx
00405913 8BD8 mov ebx,eax
00405915 6A 04 push 4
00405917 BF 00100000 mov edi,1000
0040591C 57 push edi
0040591D 57 push edi
0040591E 6A 00 push 0
00405920 FF53 08 call dword ptr ds:[ebx+8]
一直F7(F8...这里也行得通)到遇到向上跳的用F4
到这里
004058E2 61 popad ////出
004058E3 B8 56160000 mov eax,1656
004058E8 BA 00004000 mov edx,crackme.00400000
004058ED 03C2 add eax,edx
004058EF FFE0 jmp eax//////跳向OEP
004058F1 B1 15 mov cl,15
004058F3 0000 add byte ptr ds:[eax],al
004058F5 60 pushad
004058F6 E8 00000000 call crackme.004058FB
004058FB 5E pop esi
OEP得。。。。
00401656 55 push ebp
00401657 8BEC mov ebp,esp
00401659 6A FF push -1
0040165B 68 E0234000 push crackme.004023E0
00401660 68 50164000 push crackme.00401650 ; jmp to msvcrt._except_handler3
00401665 64:A1 0000000>mov eax,dword ptr fs:[0]
0040166B 50 push eax
0040166C 64:8925 00000>mov dword ptr fs:[0],esp
00401673 83EC 68 sub esp,68
00401676 53 push ebx
00401677 56 push esi
00401678 57 push edi
00401679 8965 E8 mov dword ptr ss:[ebp-18],esp
0040167C 33DB xor ebx,ebx
0040167E 895D FC mov dword ptr ss:[ebp-4],ebx
00401681 6A 02 push 2
00401683 FF15 84214000 call dword ptr ds:[402184] ; msvcrt.__set_app_type
呵呵。。。VC写的脱之。。。。。。。
收工
。。。。最后附上原程序******* |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2008-6-3 22:49
