发现加了UPX壳,先脱壳,脱壳后继续分析。
D:ToolsSecurity_Tools�10upx-3.95-win64upx-3.95-win64& -Ultimate Packer for eXecutablesCopyright (C) 1996 - 2018
UPX 3.95w Markus Oberhumer, Laszlo Molnar & John Reiser Aug 26th 2018File size Ratio Format Name-------------------- ------ ----------- -----------458752 <- 146432 31.92% win32/pe Unpacked 1 file.
这道题好像看起来有点复杂,从看雪工具包中下载Delphi的反汇编工具:DeDe
分析文件看到如下事件:
分别查看这些事件的代码,在Timer2Timer中看到如下代码:
004473E4 53 push ebx
004473E5 8BD8 mov ebx, eax
004473E7 81BB04030000340C0000 cmp dword ptr [ebx+$0304], $00000C34
004473F1 0F8488000000 jz 0044747F
004473F7 81BB080300000D230000 cmp dword ptr [ebx+$0308], $0000230D
00447401 747C jz 0044747F
00447403 81BB10030000940F0000 cmp dword ptr [ebx+$0310], $00000F94
0044740D 7570 jnz 0044747F
0044740F 8B8318030000 mov eax, [ebx+$0318]
00447415 3B8314030000 cmp eax, [ebx+$0314]
0044741B 7562 jnz 0044747F
0044741D 81BB1C030000E7030000 cmp dword ptr [ebx+$031C], $000003E7
00447427 7456 jz 0044747F
00447429 33D2 xor edx, edx
修改跳转逻辑之后可以看到注册成功的界面:
本文发布于:2024-01-27 17:27:55,感谢您对本站的认可!
本文链接:https://www.4u4v.net/it/17063476851652.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
