小白分析破解某F辅助

查看 83|回复 9
作者:qq1481   
一直对逆向分析有兴趣,但是始终没有行动。碰巧遇到一个没有壳的程序,那就试一下。


image.png (56.22 KB, 下载次数: 0)
下载附件
2024-7-15 21:36 上传

1.拉进x32dbg,对MessageBoxA进行断点。


image.png (61 KB, 下载次数: 3)
下载附件
2024-7-15 21:38 上传

2.执行到返回,一步步找到这个程序失败弹窗是哪来的。


image.png (106.17 KB, 下载次数: 2)
下载附件
2024-7-15 21:39 上传

看到这上面还有个驱动加载失败,应该这个函数头就是核心判断函数了,到函数头断点试一下。
3.在函数头往下走,找到了这个


image.png (95.69 KB, 下载次数: 2)
下载附件
2024-7-15 21:41 上传

根据流程图也可以看到,这个应该就是关键跳


image.png (77.7 KB, 下载次数: 2)
下载附件
2024-7-15 21:44 上传

直接nop掉,试一下。


image.png (81.32 KB, 下载次数: 1)
下载附件
2024-7-15 21:45 上传

此时出了一个弹窗,向桌面写出了一个dll,这个应该就是程序功能的dll了,轻松解决。
......了吗?
正当我以为如此简单的时候,打脸来了,点击弹窗的确定后,程序会立即结束。。。
应该是有二次校验,于是继续向下分析
4.解决二次校验


image.png (22.63 KB, 下载次数: 3)
下载附件
2024-7-15 21:47 上传

这里跟进去,发现有两个地方:


image.png (72.43 KB, 下载次数: 1)
下载附件
2024-7-15 21:53 上传



image.png (56.09 KB, 下载次数: 1)
下载附件
2024-7-15 21:53 上传

这两个判断[ebp-c]的值是否大于等于1,成立就继续执行,否则直接调用TerminateProcess函数结束程序。
那就直接让他必须跳就好了。直接修改成jmp


image.png (24.71 KB, 下载次数: 1)
下载附件
2024-7-15 21:57 上传



image.png (23.39 KB, 下载次数: 3)
下载附件
2024-7-15 21:57 上传

下载次数, 下载附件

zzh888888   

大老,能不能帮我破下毒奶粉的~
Lty20000423   

逆向的底层果然还是汇编,可惜了,上学的时候就学了几个符号
sddyjch001   

感谢分享
bigdawn   

感谢分享!!!
jm1jm1   

今天的小白。明日的大卡!!!
qaz737   

这个工具不错
yaphoo   

逻辑性好强,经典
xiaoweng   

楼主的思路很不错,感谢你的分享
w81587679   

最近在玩武林外传手游,有没有辅助啊
您需要登录后才可以回帖 登录 | 立即注册

返回顶部