回复看下载地址
以下为图文部分
视频下载地址:
工具:x64dbg(后面都是用这个动态调试工具) 下载链接:https://www.123pan.com/s/fyzA-VfPod
*注 本节我叙述的细点,后面说的稍微简单点;
一、找线索 输入账号“111”和假码“222”点“登录”显示字符串“登录失败,再来!”,还有一个弹出“信息窗”。
二、查壳(Exeinfo PE 0.0.6.9中文版) 打开“Exeinfo PE”拖入“01.CM1(加壳)”,显示:“UPX 0.89 - 3.xx”
三、脱壳(手动脱壳用的是ESP定律) 1、载入 :打开“x64dbg”拖入“01.CM1(加壳)” 2、单步一次 :按“F8”一次 3、内存跟随 :“寄存器窗口”ESP红值“右键” -> “在转储中跟随” 4、内存断点 :“内存窗口”第一个粉值“右键” -> “断点” -> “硬件访问” -> “字节” 5、运行程序 :按“F9”运行程序 6、单步跟踪 :按“F8”到“4C0B4D”虚拟地址是个“向回跳转” 7、运行到选区 :在“4C0B4D”回跳下面一行“4C0B4F”按“F4” 8、跳出壳域 :按“F8”出壳到OEP地址“460711” 9、删除分析 :“反汇编窗口”按“右键” -> “分析” -> “从模块中删除分析”(由于安装了自动分析删除插件可以不操作这一步) 10、修复转储 :按“Ctrl I” -> 点“转储” -> 点“保存” -> 点“IAT自动搜索” -> 讯问高级搜索“否” -> 点“确定” -> 点“获取导入” -> 点“修复转储” -> 选择“刚才储存的文件” -> 点“打开” 四、查语言 打开“Exeinfo PE”拖入“01.CM1(加壳)_dump_SCY.exe”,显示:“Unknown Packer-Protector , 4 sections ”
五、爆破(静态分析,用的是“搜字符串”法) 1、载入程序 :拖入“01.CM1(加壳)_dump_SCY.exe” 2、搜字符串:点“查找字符串” -> 双击“登录失败,再来!” 3、跳转分析:40128F是jmp(无条件跳转),401294显示有跳转进来,上翻找到401255是je(有条件跳转),而且下面有“恭喜你逆向成功了”说明这个跳转可以跳到失败也可以走向成功上面一行是“test eax,eax”比较指令,可以证明他就是“关键跳转”,用NOP(空指令)填充,就会成功。 4、NOP填充 :点一下401255这行选中他(粉色) -> 按“Ctrl 9” -> 点“确定” 5、保存文件 :点“补丁”按钮 -> 点“补丁文件” -> 取名“1.exe” -> 保存 -> 点“确定” -> 关闭“补丁窗口” 7、测试 :随意输入“账号和密码”点“登录”是否显示“恭喜你,你逆向成功了!”。
六、追码(动态调试) 1、载入程序 :打开“x64dbg”拖入“01.CM1(加壳)_dump_SCY.exe 2、搜字符串:点“查找字符串” -> 双击“登录失败,再来!” 3、找到段首 :向上翻找到“004010B0 | 55 | push ebp | ” 4、段首下断 :点选“4010B0”这行 -> 按“F2” -> 按“Ctrl F2”重新运行程序 -> 按“运行” 5、输入账密 :在“程序”输入账号:“11111”密码:“22222” -> 点“登录” -> “x64dbg”断在“4010B0”这行 6、单步跟踪 :按“F8”到“4010CC”“寄存器EAX”出现“假账号” 7、单步跟踪 :按“F8”到“40111D”“寄存器EAX”出现“假密码” 8、单步跟踪 :按“F8”到“4011C3”“寄存器ESP”出现“yyhd” 9、单步跟踪 :按“F8”到“4011CB”“寄存器ECX”出现“yyhd”EDX出现“假账号” 10、单步跟踪 :按“F8”到“4011F0”“信息窗口”出现“执行转移” 11、重新运行 :按“Ctrl F2” -> 按“F9” 12、输入账密 :在“程序”输入账号:“yyhd”密码:“22222” -> 点“登录” -> “x64dbg”断在“4010B0”这行 13、单步跟踪 :按“F8”到“4011F0”“信息窗口”出现“未执行转移” 14、单步跟踪 :按“F8”到“401214”“寄存器ESP”出现“521314” 15、单步跟踪 :按“F8”到“40121C”“寄存器ECX”出现“521314”EDX出现“假密码” 16、重新运行 :按“Ctrl F2” -> 按“F9” 17、测试 :账号输入“yyhd”密码输入“521314” -> 点“登录” -> 按“F9”程序显示“恭喜你,你逆向成功了!”
*注 今天学习的内容是: 1、利用“搜索字符串”爆破 2、利用“x64dbg的动态调试”分析,查看“寄存器”中出现的“程序固定账号和密码”
| 
[复制链接]
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜