一个自效验软件求助下思路

小河水 · 发表于 2023-6-22 21:03

脱壳后加载软件下了自效验断点，停在这
第一个自效验.png

F9在运行，停在75D853C6处，堆栈中跟随跳转到00407383
第二个断点跟随到00407383.png

往上找到一个je跳转，0040732D可以跳过00407383
F9运行再次停在在75D8536，堆栈中跟随00499C84

第四个，效验本地文件.png

没有跳过call的关键跳，nop后运行软件崩溃了，
跟随到这里后没有跳过call.png

求助下大哥们给个思路
运行就停止工作了.png

软件链接：https://wwag.lanzoum.com/ikeg20zriy2h

xlhwxyh · 发表于 2023-6-22 21:31

CreateFile 是关联或者创建一个文件, 这是一个系统api, nop 掉首先是要堆栈平衡
add esp,0x001c

这就是崩溃的原因! 其次你没找到关键call 这个call是系统api
nop 后文件句柄无法正常打开, 下面的代码运行后就未知了!!!!!!!!!!!!!!!!!!!!!!

小河水 · 发表于 2023-6-22 21:55

xlhwxyh 发表于 2023-6-22 21:31
CreateFile 是关联或者创建一个文件, 这是一个系统api, nop 掉首先是要堆栈平衡
add esp,0x001c

大哥，这个自效验的能帮研究下关键call嘛

难寻。 · 发表于 2023-6-22 23:13

写个hook CreateFileA

或者jmp手搓一段就让这段指向到原文件就得了呗

小河水 · 发表于 2023-6-22 23:16

难寻。发表于 2023-6-22 23:13
写个hook CreateFileA

或者jmp手搓一段就让这段指向到原文件就得了呗

没有汇编基础，大哥给个例子

wf6994jie · 发表于 2023-6-23 08:21

进到CreateFileA前面两个call跟进去找找看

小河水 · 发表于 2023-6-23 08:31

wf6994jie 发表于 2023-6-23 08:21
进到CreateFileA前面两个call跟进去找找看

好的谢谢

byh3025 · 发表于 2023-6-23 10:03

校验应该在这个api之后，你怎么能跳过这个呢？

cndml · 发表于 2023-7-1 17:02

1、在CreateFileA函数设断点，读程序自身断下后，回溯，到这里：

企业微信截图_16882018279221.png

紧接的下面的je强制跳转的话，自校验成功，总共有两处校验，都改成jmp即可！

小河水 · 发表于 2023-7-1 21:10

cndml 发表于 2023-7-1 17:02
1、在CreateFileA函数设断点，读程序自身断下后，回溯，到这里：

好的，谢谢了老哥。

帐号		自动登录	找回密码
密码			注册[Register]

[求助] 一个自效验软件求助下思路

个人中心