OD破解程序自校驗之bp CreateFileA
當前位置:點晴教程→知識管理交流
→『 技術文檔交流 』
程序PEid查殼,顯示為 UPX-Scrambler RC1.x,OD載入,兩次查找pushad,下斷,運行,直接跳到OEP  我們修復輸入表后,再次用PEid查看,用vc++ 6.0所寫,但是程序打開后,顯示圖片后就退出了,程序使用了自校驗防止被破解。我們同時用OD打開脫殼前(運行至OEP)和脫殼后的程序,然后同時下段 bp CreateFileA  F9運行,程序運行后被斷了下來,我們看看堆棧窗口,程序是在讀取自己  Alt+F9返回程序領空,我們兩邊同時單步跟蹤,重點注意程序的跳轉的實現與否是否一致。在地址0041C094處,我們發現脫殼后的跳轉實現了,而脫殼前的跳轉沒有實現,如圖下  我們分別查看脫殼前后的eax值,將其轉化為10進制后,我們發現其為程序本身的大小(字節數)。也就是說,程序把自身的大小和835b8進行比較,如果大于則條轉實現。脫殼后,程序變大,導致跳轉實現,所以我們將835b8改為比008EC000(脫殼后程序的大小)更大的值即可。經測試,程序正常運行。 該文章在 2014/4/10 11:07:09 編輯過 |
關鍵字查詢
相關文章
正在查詢... 
|
400 186 1886
