破解基础篇三

最新推荐文章于 2025-02-07 22:51:39 发布
转载 最新推荐文章于 2025-02-07 22:51:39 发布 · 203 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/miaohj/p/5476221.html

花指令去除

1、花指令是程序设计者为了防止程序被破解而进行的方法之一,该方式会产生很多无用的但却不影响程序正常运行的代码,也同时可以防止字符串查找。本实践过程采用的是一个E语言编写的程序。

2、首先我们查看一下加花和未加花的程序不同之处,加过花的程序查到的字符串比未加花的程序显然字符串多,标明有很多无用的字符串用来实现干扰。

908755-20160510000241546-200005315.png

908755-20160510000250093-159650776.png

3、这里去除E语言花指令用到了OD的一个插件是e Junk code,这里初始地址一般都写00401000,大小都写10000足够,这样点击去除就能去除花指令

908755-20160510000259296-1193005287.png

4、可以观察去除花指令后的代码,首先先得去掉模块分析,可以看到很多之前的无用代码都没了,但是需要注意的是,去花后的指令可能有些地方还是和原始程序存在差别的。

908755-20160510000308640-74198153.png

5、其次,我们通过之前学习的方式,找到关键跳转

908755-20160510000316187-803658461.png

6、修改关键代码

908755-20160510000325280-1950500229.png

7、保存修改后重新打开程序,发现完成了对应的要求

908755-20160510000333030-788440229.png

8、这里对整个过程做一下小结,首先我们得发现是否程序加花,如果加花,会出现很多无用的代码和无用的东西作为混淆,此时我们必须去花;去花主要用的就是插件,这里不同的插件还是需要各位自己在平时的过程中收集;去除完花指令后,主要的工作就类似于之前文章中提到的一些知识的运用。

易语言非独立编译查找字符串

1、独立编译:运行时会把需要的支持库释放到一个系统临时文件夹的子目录内,然后运行.

静态编译:运行是不需要任何的支持库支持就可以运行,支持库已经和exe结合到一起了.

2、有些程序,会利用独立编译后通过加壳伪装成静态编译程序,伪装壳的脱壳会在之后的学习中进行介绍。

3、首先我们载入程序,超找字符串发现字符串很少

908755-20160510000341671-1814205407.png

4、方法1:我们双击字符串中的error后看到对应代码上方是FFD0的机器码,我们在这下断后重新载入运行。

908755-20160510000351859-166277923.png

5、程序断在指定为位置后,我们F7进入,之后F8单步到了如图call后继续F7进入

908755-20160510000400374-1956525154.png

6、继续单步看到cld后

908755-20160510000408859-1530901921.png

7、此时查找字符串可以找到对应内容

908755-20160510000416093-47851346.png

8、方法二:首先我们将程序运行起来,之后我们来到00403000处,查找字符串,这时也能查到对应内容

908755-20160510000423734-169817696.png

9、推荐使用第一种方法,相对于第二种找的字符串更全。

10、在这肯定很多读者会问,为什么有些位置是F7有些是F8。个人觉得因为有些call你单步下去会发现程序跑起来,所以得跟进。还有就是为什么cld处就能查到字符串?为什么00403000处也能查到字符串?而这过程为什么必须要程序运行起来的时候才能找到字符串?这些问题我有的也想不太明白,可能知识积累不够,所以在之后的学习中,如果我理解了在回头解答吧

验证窗口的去除

1、适用于一些外挂程序的运用

2、首先我们先找到两个位置,第一个:这里我们习惯性的来到00401000处后ctrl+f查找push 10001指令。

908755-20160510000432577-622018445.png

908755-20160510000451734-170835679.png

3、我们记下该指令的下面第二行指令push 0x52010007

908755-20160510000542827-535047617.png

4、我们回到00401000处,ctrl+b查找ff25在这我们往上看,两个call上面的那个push指令即push 0x52010001

908755-20160510000552546-1828824077.png

5、在这我们做一下解释:我们记录的第一个push是第二个验证窗口的压入的数值,而第二个记录的内容也是压入第一个验证窗口的数值,在这第一个call是弹出第一个验证页面。因此我们可以考虑,把压入第一个窗口的数值直接改成压入第二个页面的数值,这样是否可以直接跳过第一个窗口。

6、我们作如下修改

908755-20160510000604796-1289381087.png

7、保存后打开程序,发现第一个窗口的验证过程已经去除了。

908755-20160510000615874-763308923.png

工具与实例程序

1、本次的实例学习中所用到的主要是OD,注意使用的时候最好常清理UDD文件

2、本次实例学习所用到的程序请见:链接:http://pan.baidu.com/s/1o7Z4WrC 密码:t1oo

转载于:https://www.cnblogs.com/miaohj/p/5476221.html

黑客进阶基础:逆向破解win.exe—让我们来谈谈逆向分析那些事
C语言C++学习俱乐部:765860056
10-27 6544
前言:这是学二进制逆向过程中遇到的一道题目,为了学习和成长,和大家一起分享! 题目在最下面那里,接下来一起看看吧。 首先win.exe拿进去看,运行: 看来可以拖进去ida(提示是32位,自己可以尝试) 拖进去,优先找main函数,按F5: 看到一个do while的循环语句 说明要输入的第一个数字是2018,输进去,看看: 对的,很好,接下去分析, 看到congratulation! 说明这里是关键函数,所以V3是我们的关键数字,要不能为空,找到V3的出处。那个..
CrackMe028:解决花指令
可乐松子的博客
05-28 542
下面是网上的160个CrackMe的部分逆向笔记,包括逆向思路、注册机实现和逆向中常用的知识整理 注意:逆向前一定要先操作一下软件,熟悉软件的运行现象;逆向一定要自己操作一遍,看是很难看会的(高手除外) 文章目录1.了解程序信息2.逆向分析程序1.OD分析2.IDA分析3.验证分析3.注意事项4.参考 用PEiD查看这3个连续程序(26、27、28),都是用VC6.0编写,没有壳 1.了解程序信息 程序需要输入正确的用户名和序列号才能注册成功 2.逆向分析程序 1.OD分析 OD中通过错误提示定位引
逆向分析基础 --- 花指令实现及清除
热门推荐
abelxu
06-15 1万+
一、基本概念 花指令:目的是干扰ida和od等软件对程序的静态分析。使这些软件无法正常反汇编出原始代码。 常用的两类反汇编算法: 1.线性扫描算法:逐行反汇编(无法将数据和内容进行区分) 2.递归行进算法:按照代码可能的执行顺序进行反汇编程序。 简单的花指令 0xe8是跳转指令,可以对线性扫描算法进行干扰,但是递归扫描算法可以正常分析。 两个跳转一个指向无效数据,一个指向正常数据来干扰递归扫描算法。 二、花指令实现 这里的实验基础代码是参考安全客上一个师傅代码进行的 //源码 #include<s
花指令手动清除-保姆级教学【逆向系列】
shutTD的博客
02-29 2285
逆向系列
手动去除花指令
qq_43335618的博客
07-14 2943
花指令的作用 花指令是对抗反汇编的有效手段之一,正常代码添加了花指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错误,使ida和ollydbg等搜索不到字符串。错误的反汇编结果会造成破解者的分析工作大量增加,进而使之不能理解程序的结构和算法,也就很难破解程序,从而达到病毒或软件保护的目的。 缺点:不能防止动态调试 以以下代码为例: #include <iostream> int main() { _asm { xor eax,eax t
【逆向学习】花指令去除
WangLal的博客
04-22 6085
逆向花指令
小甲鱼教程合集(基础+工具+系统+OD使用教程)
10-03
基础_第讲_一些必备的常识(2).rar 基础_第四讲_Windows消息机制.rar 基础_第五讲_Windows保护模式.rar 小甲鱼_加密解密教程之工具 PEInfo编程思路讲解01-工具-解密系列.zip PEInfo编程思路讲解...
002-CTF web题理论基础-第二课理论基础.pdf
07-09
将深入探讨CTF Web题型的基础理论,帮助参赛者理解和掌握解题的关键点。 1. 工具集: 在CTF Web挑战中,通常会用到一系列工具来辅助分析和破解。例如: - Burp Suite:一个强大的HTTP代理工具,用于拦截、修改...
小日本TMPGEnc4.0Xpress编码转换软件图文教程(VCD基础)借鉴.pdf
12-30
- 添加文件后,会显示“素材属性”窗口,包含个可调整选项卡,用于查看和设置视频源的详细信息。 3. **剪切编辑与效果**: - 用户可以利用“剪切编辑”选项卡来选取源文件中的特定部分进行转换。 - “效果”...
Win7主题制作基础——win7主题认知.pdf
11-23
### Win7主题制作基础——win7主题认知 #### Win7主题概述 Windows 7 (简称Win7)作为微软的一款经典操作系统,在用户界面设计方面提供了丰富的个性化选项。其中,Win7主题是用户自定义系统外观的主要途径之一。...
花指令清除工具
01-13
呵呵 自己在网上搜集的这个 软件是在破解之前 查出花指令 将他清除
易语言花指令去除
06-22
很不错的软件,相信大家都喜欢
引用模块时import后面加上花括号{}和不加{}的区别
slx924的博客
07-20 3173
1、不适用花括号 假如一个B.js,想通过import语法引用模块A.js,那么可以这么写 1.//B.js 2.import A from './A' 而上面的代码生效的前提是,只有在如下A.js 中有默认导出的 export default 语法时才会生效。也就是说: // A.js export default 42 在这种不使用{}来引用模块的情况下,import 模块时的命名是随意的,即如下种引用命名都是正确的: // B.js import A from './A' import MyA
易语言的花指令
嵌入式点灯大师的博客
02-03 1068
简单记录一下易语言花指令破解流程 先PEid查壳 发现什么都找不到 深度扫描和扩展信息 也得不到什么 直接开始破解,常规PEID通用脱壳器,之后没有找到 再使用OEP查找工具,找到了地址00454E54 在OD里进入这个地址 设置硬件执行断点 之后运行,运行到断点出就可以把断点删除了 紧接着使用OD脱壳调试进程->脱壳,并保存到桌面 保存的文件再次载入OD,并查找字符串FF 55 FC 5F 5E,易语言的按钮事件 ...
花指令简单的总结
qq_54894802的博客
08-09 481
所谓花指令就是指程序中完全冗余,不影响程序功能却会对逆向工程产生干扰的指令。
IDA 分析花指令:从入门到实战
最新发布
m0_57836225的博客
02-07 1072
分析花指令是一个复杂且需要耐心的过程,它不仅要求我们熟悉汇编语言和 IDA 工具的使用,还需要具备敏锐的观察力和逻辑分析能力。在实际操作中,会遇到各种各样的花指令形式,有些甚至更加复杂,如经过 VM 混淆的代码,其分析难度更大。但只要掌握了基本的分析方法,不断实践,就能逐渐提高分析花指令的能力。对于进阶学习者,可以尝试编写脚本自动化识别和去除花指令。例如,通过 IDA 的脚本功能,根据总结出的花指令模式,编写 Python 或 IDC 脚本,实现对花指令的自动检测和处理,提高分析效率。
易语言PUSH窗口法记录
还是上会网吧~
10-19 5050
易语言PUSH法,跳过验证窗口。https://www.52pojie.cn/thread-483527-1-1.html 测试: OD载入,打开EWND插件,一键获取,枚举窗口。 查找二进制串FF 25 直接替换成要载入的窗口值。0x52010038,保存。
逆向分析软件去除易语言花指令完成注册
1匹黑马
03-02 2946
文章目录用到的软件查壳去除花指令寻找关键跳或者关键CALL完成注册 用到的软件 OD PEID 会员管理软件 查壳 直接拖进PEID看一下,这里没壳,直接干了 去除花指令 查找关键字 首先我们运行程序会看见有一个未注册 我们直接去查找这几个字,这里提示没有找到 去除花指令 接着我们尝试去一下花指令看看效果,去除花指令的工具在 插件——》Junk code 再次查找关键...
简单的凯撒加密并手动去除花指令
qq_35650513的博客
01-21 596
这个程序是加了花指令的,首先去除花指令 定位到花指令位置 给他nop掉 接下来保存下来就行了 我们将去除花指令的程序拖到ida中 这是我们的main函数 我们对main函数和算法进行一些重命名修改 这个算法就是将我们输入的字符串转换为一个新的字符串,在与 ((++**–,//…QQPP 这个字符串对比 char key[] = "bcdaren"; int __cdecl Algorithm(char* inputkey, char* outputkey, int a3) { sig
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值