首页 › 逆向安全 › 2022《玩玩解密》系列【视频】1ESP定律和字符串nop

YuGuo_Arelcarey 发表于 2022-7-18 11:37

2022《玩玩解密》系列【视频】1ESP定律和字符串nop

{:4_109:}

回复看下载地址
以下为图文部分
视频下载地址:
**** Hidden Message *****
工具：x64dbg(后面都是用这个动态调试工具)下载链接：https://www.123pan.com/s/fyzA-VfPod
*注 本节我叙述的细点，后面说的稍微简单点；
一、找线索输入账号“111”和假码“222”点“登录”显示字符串“登录失败，再来！”，还有一个弹出“信息窗”。
二、查壳(Exeinfo PE 0.0.6.9中文版)打开“Exeinfo PE”拖入“01.CM1（加壳）”，显示：“UPX 0.89 - 3.xx”
三、脱壳(手动脱壳用的是ESP定律)1、载入       ：打开“x64dbg”拖入“01.CM1（加壳）”2、单步一次   ：按“F8”一次3、内存跟随   ：“寄存器窗口”ESP红值“右键” -> “在转储中跟随”4、内存断点   ：“内存窗口”第一个粉值“右键” -> “断点” -> “硬件访问” -> “字节”5、运行程序   ：按“F9”运行程序6、单步跟踪   ：按“F8”到“4C0B4D”虚拟地址是个“向回跳转”7、运行到选区 ：在“4C0B4D”回跳下面一行“4C0B4F”按“F4”8、跳出壳域   ：按“F8”出壳到OEP地址“460711”9、删除分析   ：“反汇编窗口”按“右键” -> “分析” -> “从模块中删除分析”(由于安装了自动分析删除插件可以不操作这一步)10、修复转储：按“Ctrl+I” -> 点“转储” -> 点“保存” -> 点“IAT自动搜索” -> 讯问高级搜索“否” -> 点“确定” -> 点“获取导入” -> 点“修复转储” -> 选择“刚才储存的文件” -> 点“打开”四、查语言打开“Exeinfo PE”拖入“01.CM1（加壳）_dump_SCY.exe”，显示：“Unknown Packer-Protector , 4 sections ”
五、爆破(静态分析，用的是“搜字符串”法)1、载入程序   ：拖入“01.CM1（加壳）_dump_SCY.exe”2、搜字符串：点“查找字符串” -> 双击“登录失败，再来！”3、跳转分析：40128F是jmp(无条件跳转)，401294显示有跳转进来，上翻找到401255是je(有条件跳转)，而且下面有“恭喜你逆向成功了”说明这个跳转可以跳到失败也可以走向成功上面一行是“test eax,eax”比较指令，可以证明他就是“关键跳转”，用NOP(空指令)填充，就会成功。4、NOP填充   ：点一下401255这行选中他(粉色) -> 按“Ctrl+9” -> 点“确定”5、保存文件   ：点“补丁”按钮 -> 点“补丁文件” -> 取名“1.exe” -> 保存 -> 点“确定” -> 关闭“补丁窗口”6、关闭软件   ：关闭“x64dbg”7、测试       ：随意输入“账号和密码”点“登录”是否显示“恭喜你，你逆向成功了！”。
六、追码(动态调试)1、载入程序   ：打开“x64dbg”拖入“01.CM1（加壳）_dump_SCY.exe2、搜字符串：点“查找字符串” -> 双击“登录失败，再来！”3、找到段首   ：向上翻找到“004010B0 | 55   | push ebp |       ”4、段首下断   ：点选“4010B0”这行 -> 按“F2” -> 按“Ctrl+F2”重新运行程序 -> 按“运行”5、输入账密   ：在“程序”输入账号：“11111”密码：“22222” -> 点“登录” -> “x64dbg”断在“4010B0”这行6、单步跟踪   ：按“F8”到“4010CC”“寄存器EAX”出现“假账号”7、单步跟踪   ：按“F8”到“40111D”“寄存器EAX”出现“假密码”8、单步跟踪   ：按“F8”到“4011C3”“寄存器ESP”出现“yyhd”9、单步跟踪   ：按“F8”到“4011CB”“寄存器ECX”出现“yyhd”EDX出现“假账号”10、单步跟踪   ：按“F8”到“4011F0”“信息窗口”出现“执行转移”11、重新运行   ：按“Ctrl+F2” -> 按“F9”12、输入账密   ：在“程序”输入账号：“yyhd”密码：“22222” -> 点“登录” -> “x64dbg”断在“4010B0”这行13、单步跟踪   ：按“F8”到“4011F0”“信息窗口”出现“未执行转移”14、单步跟踪   ：按“F8”到“401214”“寄存器ESP”出现“521314”15、单步跟踪   ：按“F8”到“40121C”“寄存器ECX”出现“521314”EDX出现“假密码”16、重新运行   ：按“Ctrl+F2” -> 按“F9”17、测试       ：账号输入“yyhd”密码输入“521314” -> 点“登录” -> 按“F9”程序显示“恭喜你，你逆向成功了！”
*注 今天学习的内容是：1、利用“搜索字符串”爆破2、利用“x64dbg的动态调试”分析，查看“寄存器”中出现的“程序固定账号和密码”

srixbqdjpr 发表于 2022-7-18 11:40

66666666666666

godaweepnf 发表于 2022-7-18 12:32

真是被感动的痛哭流涕……

24u8x60qim 发表于 2022-7-18 13:00

无回帖，不论坛，这才是人道。|

83294jnl09 发表于 2022-7-18 13:38

强烈支持楼主ing……

jsvtekxmkv 发表于 2022-7-18 13:39

楼主加油，我们都看好你哦。

shqrhzbfal 发表于 2022-7-18 15:38

我只是路过打酱油的。

8s6b5ar2ws 发表于 2022-7-18 16:21

强烈支持楼主ing……

0r435b544x 发表于 2022-7-18 16:31

感恩无私的分享与奉献 :)

joyozsgxat 发表于 2022-7-18 18:02

淡定，淡定，淡定……

查看完整版本: 2022《玩玩解密》系列【视频】1ESP定律和字符串nop