【2】新手入坑，自己制作的第一个防破软件，有大佬分析...

tyq1031 · 发表于 2021-8-13 16:53:29

新手的第二次尝试
软件加了各种校验另外加了一个VMP壳子

如果脱不了VMP壳，我可以发布没有加壳的。

这是我的第一个防破J软件。新手刚刚上路

里面像什么校验、检测到什么调试都会自动结束。但是VMP壳有提示。

没有任何蓝屏、卡死之类的代码，检测调试和虚拟机。

麻烦来个大佬分析一下，我会慢慢努力的。

下载地址：https://wwa.lanzoui.com/iAQM0sl1h3a

wwq200130 · 发表于 2023-2-20 16:51:31

看了你的分享又学到了好多知识

精彩的鸟 · 发表于 2022-10-15 16:39:37

啥时候开源呢

tyq1031 · 发表于 2021-8-18 10:14:12

埃菲尔铁塔ATA 发表于 2021-8-18 10:01
给个中评三星吧。。。我觉得反调试倒是还好，主要是vm确实干扰分析

那大佬有什么好的思路提供一下吗，小弟刚学习

埃菲尔铁塔ATA · 发表于 2021-8-18 10:01:40

tyq1031 发表于 2021-8-17 23:28
满分五星，给个评级呗，我还有好多防破小方法，不算厉害，就是绕来绕去的，嘿嘿 ...

给个中评三星吧。。。我觉得反调试倒是还好，主要是vm确实干扰分析

tyq1031 · 发表于 2021-8-17 23:28:01

埃菲尔铁塔ATA 发表于 2021-8-17 22:21
属实懒了

满分五星，给个评级呗，我还有好多防破小方法，不算厉害，就是绕来绕去的，嘿嘿

埃菲尔铁塔ATA · 发表于 2021-8-17 22:21:09

tyq1031 发表于 2021-8-17 17:50
厉害！功能窗口有第二次校验，你也可以试着继续日一日。

属实懒了

tyq1031 · 发表于 2021-8-17 17:50:06

埃菲尔铁塔ATA 发表于 2021-8-16 23:38
1.查看父进程是否是explorer.exe,如果不是就判断为被调试状态
判断地址0040C45A

厉害！功能窗口有第二次校验，你也可以试着继续日一日。

埃菲尔铁塔ATA · 发表于 2021-8-16 23:38:21

1.查看父进程是否是explorer.exe,如果不是就判断为被调试状态
判断地址0040C45A

2.网页访问,获取一段不知道是啥的东西
"262527565654242824252928252154532927265626235521202320245656522252542222245253235254704E98114"

3.程序窗口出现后搜索特征码"FF 55 FC 5F 5E"发现找不到（这里略过怎么找派发事件，懒得讲）

4.找到按钮点击事件0040ED8C，跳转发现全部vm，好，死路一条，不往这里走了

5.通过查找字符串比较特征码找到字符串比较的地址，并下断点

6.运行发现只断下了一处，并且下一步运行直接跳转到断点MessageBoxA处，提示卡密错误

7.然后发现堆栈里面直接找到了返回地址，跟过去并且发现没有vm，找到判断处0040EFAE

8.可以看到cmp dword ptr ds:[0x004D51E4], 0x1 中对全局变量进行了判断是否等于1，我猜测这是逻辑性变量1代表真

9.运行起来直接提示成功，但是点掉信息框后进程退出不知道是作者动的手脚还是什么，懒得看了

917622157 · 发表于 2021-8-14 08:21:50

tyq1031 发表于 2021-8-13 21:01
你这句话的意思是我的软件防破还可以开源出来给你们参考嘛

嗯 6666666666666

		自动登录	找回密码
密码			注册

[Windows逆向] 【2】新手入坑，自己制作的第一个防破软件，有大佬分析...