脱壳后输入初始码运行一闪就退出来，怎么去掉这个程序的调试检验？

雨梦轩

OD载入


ESP定律法脱壳

请教各位高手如何躲过这种软件的调试检测？





软件在：http://www.398455720.cn/index.htm

[ 本帖最后由 雨梦轩 于 2010-5-20 00:52 编辑 ]

老海

自校验，通常是脱压缩壳后有文件比较大小，OD载入后看一下所调用的文件比较函数来确定。

飘云

这是基础知识哦，楼主多翻翻我的老教程~~~

bp CreateFileA  然后回溯~

005FEED7  call    00582EF4                         ; 第①处
005FEEDC  test    al, al
005FEEDE  jnz     005FEF86

还有一处留给你自己练习


改了就OK了~~~

whdl

想起来了，好像是零五年的那个教程？第四课
多谢老师了。


按照老师的断点。
下断
bp CreateFileA
输入123456确定，
停下来，点ALT+F9
单步
发现了两个字符串


00583051    8B06            MOV EAX,DWORD PTR DS:[ESI]

DS:[0061E3C8]=07F23F6C, (ASCII "97F8A2BC")
EAX=0061E3C8 (dumped_.0061E3C8)

00583056    E8 9D24E8FF     CALL dumped_.004054F8
EAX 07F23F6C ASCII "97F8A2BC"
ECX 00000002
EDX 07F20CD8 ASCII "27292250"


猜猜我把27292250或者97F8A2BC放进去，发现了什么，软件 变成 空心接龙小游戏了。
神奇啊。


单步到

005830CE    C3              RETN
到
005FEEDC    84C0            TEST AL,AL
此时AL=00

005FEEDE   /0F85 A2000000   JNZ dumped_.005FEF86未跳，改JZ，让跳。
可以躲过大段无休止的循环。
可是后面还是程序死机了。


另外，按照第四课的内容，载入就下断点bp CreateFileA，运行。在堆栈那里点右键，跟随到反汇编。发现了CreateFileA。
虽然没弄出来，但今天又学习了点。

[ 本帖最后由 whdl 于 2010-5-20 19:16 编辑 ]

月之精灵

对于你的进步我很高兴

doudou8308

叹一个...字数字数字数字数












燃文

月之精灵

叹一个...字数字数字数字数
doudou8308 发表于 2011-2-24 15:34

   兄弟，不要灌水哈。 警告一次，