动态地址解析卡壳篇

whj0601 · 发表于 2022-1-23 00:14

本帖最后由 whj0601 于 2022-1-24 12:57 编辑

本次分析的主要目的是绕过错误对话框，如有分析不对地方请大神指点。

过PEID查壳显示，软件应该是vc程序。
直接用OD打开，显示入口地址为0040FFEF，

途径一：直接进行中文搜索引擎--》智能搜索，无法搜索中文字符，此方法不行。
途径二：下断点，通过API断点设置工具，对对话框函数中的messageboxexa和messagebosexw进行勾选。

F9运行，断在user32的子程序模块，右下角也出现错误提示“未检测……”的错误对话框里面的内容。

点M按钮进入内存搜索，

通过内存查找ASCII中的未检测无法查到内容，

通过HEX查找2A67C068，可以查到数据地址为02896F68.

转到这个地址没有找到关键信息。

按照惯例在内存地址中下断，运行软件。但也找不到关键信息，
再次运行后，由于内存地址变化无法下断。也找不到关键跳。
此路径失败。

如果在API中断时继续F8运行回到程序领空看看结果。

回到08184B5F地址，发现上面有跳转语句，下断。
但是由于地址是动态地址，再次F9运行后不会运行到下断地址，
并且修改后也不能保存。
至此，寻找关键跳位置失败。
几个问题请教大家：
一是内存访问下断后怎么进行下一步操作；
二是如何克服动态地址的问题，每运行一次都无法下断，
同时也通过进入00401000地址后分析，也没有得到解决。
三是关键位置还可以通过什么进行查找。
软件奉上https://pan.baidu.com/s/1BE7bY88F44Z6bodQiW5oXw?
提取码：snaq
请各位大佬指点。

Hmily · 发表于 2022-1-24 10:59

贴图有问题，看这个学习下怎么贴图，然后编辑下帖子吧https://www.52pojie.cn/misc.php? ... 29&messageid=36

whj0601 · 发表于 2022-1-24 13:03

Hmily 发表于 2022-1-24 10:59
贴图有问题，看这个学习下怎么贴图，然后编辑下帖子吧https://www.52pojie.cn/misc.php?mod=faq&action=faq ...

请壮士提点解题思路。

whj0601 · 发表于 2022-1-27 18:52

看来你们也没法。

whj0601 · 发表于 2022-2-3 23:22

春节快乐

whj0601 · 发表于 2022-2-7 00:11

大家有新解析思路没？

whj0601 · 发表于 2022-2-13 02:23

不会是有壳吧？

whj0601 · 发表于 2022-2-20 19:43

一直绕不开的问题

whj0601 · 发表于 2022-3-6 23:53

真的方向错了？

帐号		自动登录	找回密码
密码			注册[Register]

[讨论] 动态地址解析卡壳篇

个人中心