教你在VMP最大保护模式下爆破可可网络验证V9
首先特别感谢天使师傅的大力支持和指点。@AngelWings 还有鲨鱼叔的教导。@Shark恒新手写的教程,还希望大牛勿喷。{:6_132:}
这教程是在VMP最大保护模式下爆破可可网络验证V9(未避免大家在虚拟机无法运行,我没有添加检测虚拟机,其他都是最大保护)
课件是E语言的,报毒大家懂得。
首先,我们查壳
http://www.xuepojie.com/data/attachment/forum/201410/07/004751j3u12f3c71823u96.png
我们可以看到是VMP,许多朋友看到是VMP,就直接回收站了,其实VMP并不可怕,就正如白富美也一样能上手,只要你努力。
然后我们载入程序到OD
http://www.xuepojie.com/data/attachment/forum/201410/07/004751cqlqlfegavailalj.png
我们可以看到这些被VM的特征,代码都被V的不成人样了。
我们直接运行起来看看。
按照国际惯例,一般都会来到00401000处看看
发现却是这样
http://www.xuepojie.com/data/attachment/forum/201410/07/004752f31ppe9llpe1eei0.png
这个好解决,恒大已经说过,删除模块分析即可
http://www.xuepojie.com/data/attachment/forum/201410/07/004753fzbdrf8771g7gr7h.png
很多人这时候就开始搜索字符串了,今天我教你们不用搜索字符串,有更简单更暴力的方法解决,完全脱离字符串,就是用特征码的东西。
首先,我们ctrl+B搜索FF25 来到易语言体,然后把退出retn,防止调式的时候退出或者防止有退出暗桩
http://www.xuepojie.com/data/attachment/forum/201410/07/004753yyj0tstr3zep6p35.png
http://www.xuepojie.com/data/attachment/forum/201410/07/004755ic2zohgf37opp3hc.png
然后我们按Ctrl+F搜索 sub esp,94 (这里是一个特征码)来到比较登录的地方,这个地方是比较登录的,除非手动去VM,或者有经验的人,否则是不会被VM的(为什么我知道?因为我操作过很多,别忘记现在我们是最大保护模式)
搜索后来到这里
http://www.xuepojie.com/data/attachment/forum/201410/07/004755z6sorhxgx1ohz41c.png
然后就是我们进行爆破啦
http://www.xuepojie.com/data/attachment/forum/201410/07/004756lg73j3tkmng3z5nn.jpg
然后就是点击程序中的登录按钮试试
http://www.xuepojie.com/data/attachment/forum/201410/07/004756zmuknite0tuieu5s.png
可以看到我们已经成功啦。。
一如既往的给你加油..努力努力再加油。 我告诉自己这个帖子是一定要回的!这是百年难得一见的好贴啊! 我要拿出这帖子奉献给世人赏阅,我要把这个帖子一直往上顶,往上顶!顶到所有人都看到为止! 原来还有这么多内幕啊,长见识了,呵呵 怎么迟迟看不到 图片呢 正是我想要的,谢谢楼主。 支持楼主,感谢楼主的分享,好贴必须学习! 虽然用不到 但是也要支持 11111111111111111
页:
[1]