WEB开发网
开发学院网络安全黑客技术 FlashFXP v1.4.1 build 823 的脱壳与破解 阅读

FlashFXP v1.4.1 build 823 的脱壳与破解

 2007-01-12 20:13:16 来源:WEB开发网   
核心提示: 当你走到这样的代码:call 583145 时,停一下,FlashFXP v1.4.1 build 823 的脱壳与破解(3),为了偷懒,直接下中断:bpx 583683. F5断下后,看一下这里:* Referenced by a (U)nconditional or (C)onditi

当你走到这样的代码:call 583145 时,停一下,为了偷懒,直接下中断:bpx 583683. F5断下后,一路又要小心了,还有anti-debug,还是那些东东。顺利走过那些陷阱后,到达下面就是终点了:

167:005837AF INT 20
0167:005837B1 POPA
0167:005837B2 JMP NEAR [ESP-30] 《————oep=[esp-30]==535334,
0167:005837B6 ADD BYTE [EAX],00
0167:005837B9 ADD [EAX],AL
0167:005837BB JMP SHORT 005837BE
0167:005837BD MOV EAX,6090C523
0167:005837C2 CALL 005837CD
0167:005837C7 MOV ESP,[ESP+08]

到达535334后,pedump,得到脱壳文件。用importREC 的 Auto trace一次,会发现有138个函数需修正,如果耐心好的话,那就一个一个的搞;不然,想想办法,有窍门的。具体如何修复重建请参考那些高人的教程。

4)先用W32dasm反汇编脱壳文件,在SDR中可以发现 " - Evaluation Copy"。双击它

会找到很多处。看一下这里:

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00525E08(C)
|
:00525E1D 803DA0A0530000 cmp byte ptr [0053A0A0], 00 //比较
:00525E24 7411 je 00525E37------------------>不要跳
* Possible StringData Ref from Code Obj ->"FlashFXP"
|
:00525E26 BAA0615200 mov edx, 005261A0
:00525E2B A120C05300 mov eax, dword ptr [0053C020]
:00525E30 E87F21F2FF call 00447FB4
:00525E35 EB0F jmp 00525E46
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00525E24(C)
|
* Possible StringData Ref from Code Obj ->"FlashFXP - Evaluation Copy"
|
:00525E37 BAB4615200 mov edx, 005261B4
:00525E3C A120C05300 mov eax, dword ptr [0053C020]
:00525E41 E86E21F2FF call 00447FB4

啊,很明显,[0053A0A0]这个内存地址中的值与注册关系满密切的,查找文本

上一页  1 2 3 4 5 6 7  下一页

Tags:FlashFXP 脱壳

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接