新160个crackme - 079-DueList.5
运行分析
- 提示需要注册
PE分析
- 32位程序,PE Diminisher壳
手动脱壳
- x32dbg打开程序,按一下F8,根据ESP定律,在此处下断点
- 按一下F9,两下F8,来到OEP处00401000
- 打开Scylla,点击转储保存文件
- 点击IAT自动搜索,点击获取导入,点击恢复转储,选择上一步保存的文件
- EP Section恢复正常,脱壳成功
静态分析&动态调试
- ida找到Unregistered字符串,双击进入
- 发现上面就是已注册Registered字符串,地址为40204F
- Caption处点x,进入关键汇编函数
- 运行程序,选中Unregistered字符串处,右键->Patching->Change byte
- 将5C改为4F,即Registered字符串地址,点击OK
- 程序变为已注册Registered
原文地址:https://blog.csdn.net/qq_41483767/article/details/142864321
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!