宣宣极速网络电视脱壳去自校验及算法分析

thank243

谢谢了。正在学习算法啊

pepsiguest

有附加数据要粘贴到文件的尾部的``

lhl8730

原帖由 pepsiguest 于 2006-6-28 23:11 发表
有附加数据要粘贴到文件的尾部的``

愿闻其祥

pepsiguest

0049A957    55              push    ebp
0049A958    68 78AA4900     push    0049AA78
0049A95D    64:FF30         push    dword ptr fs:[eax]
0049A960    64:8920         mov     fs:[eax], esp
0049A963    8BC3            mov     eax, ebx
0049A965    8B10            mov     edx, [eax]
0049A967    FF12            call    [edx]
0049A969    8BD0            mov     edx, eax
0049A96B    83EA 10         sub     edx, 10
0049A96E    33C9            xor     ecx, ecx
0049A970    8BC3            mov     eax, ebx
0049A972    8B38            mov     edi, [eax]
0049A974    FF57 14         call    [edi+14]                            ; // 文件指针 指向文件大小-16字节
0049A977    8D55 F0         lea     edx, [ebp-10]
0049A97A    B9 10000000     mov     ecx, 10
0049A97F    8BC3            mov     eax, ebx
0049A981    8B38            mov     edi, [eax]
0049A983    FF57 0C         call    [edi+C]                             ; //取文件最后16字节
0049A986    8B7D FC         mov     edi, [ebp-4]
0049A989    81FF 97130000   cmp     edi, 1397                  ; // 检验尾部的DWORD是否为 "1397"--不是就挂了
0049A98F    74 40           je      short 0049A9D1
0049A991    6A 00           push    0
0049A993    8D4D E8         lea     ecx, [ebp-18]
0049A996    33D2            xor     edx, edx
0049A998    8BC7            mov     eax, edi
0049A99A    E8 91E0F6FF     call    00408A30
0049A99F    8B4D E8         mov     ecx, [ebp-18]
0049A9A2    8D45 EC         lea     eax, [ebp-14]                   ; //错误信息
0049A9A5    BA 90AA4900     mov     edx, 0049AA90        ; 这本电子书包含一个错误的讯号。这个应用程序将被终止。\n\n讯号：
0049A9AA    E8 D59AF6FF     call    00404484
0049A9AF    8B45 EC         mov     eax, [ebp-14]
0049A9B2    66:8B0D E4AA490>mov     cx, [49AAE4]
0049A9B9    B2 01           mov     dl, 1
0049A9BB    E8 8483F9FF     call    00432D44
0049A9C0    A1 AC024A00     mov     eax, [4A02AC]
0049A9C5    8B00            mov     eax, [eax]
0049A9C7    E8 C4D5FDFF     call    00477F90                        
0049A9CC    E9 8C000000     jmp     0049AA5D
0049A9D1    8BC3            mov     eax, ebx
0049A9D3    8B10            mov     edx, [eax]
0049A9D5    FF12            call    [edx]
0049A9D7    8BF8            mov     edi, eax                       // 返回文件大小
0049A9D9    2B7D F0         sub     edi, [ebp-10]             //文件尾16字节内容,关键--
-------------------
堆栈 ss:[0012FEF8]=0001B3E9                                   //数据跟随地址
edi=000637E9

---------------------
0012FEF8  E9 B3 01 00 7B 14 AE 47 E1 7A 0A 40 97 13 00 00  槌
.{瓽醶.@?..

E9 B3 01 00    --附加文件大小       0001B3E9
97 13 00 00     -- 最后一个DWORD是校验信息     0x1397

----------------------------------------
Alt+G来到文件尾向上偏移0001B3E9的地方。
从这里复制到文件尾再insert到脱壳后的文件尾，
保存，运行一下，正常了 。
-----------------------------------------

lizemi

学习!!!!!!!!!!!!

joker27

很讨厌自校验

qq500com

宣宣极速网络电视  --->全球电视直播王

honghe

支持楼主，支持原创

arice

谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢