资源描述:
《伊娃外挂骗钱分析.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、【文章标题】一个骗钱软件的分析【程序名称】伊娃2.08【加壳保护】否【文章作者】a8987216【所需工具】OD PEID【文章说明】无技术含量,给新手看的,老鸟直接飞过无视之方便新手,附上常用命令:JMP无条件跳转JE相等则跳JNZ不相等则跳JGE大于等于则跳JLE小于等于则跳retn返回1.首先PEID查壳,没有加壳。2.OD载入,软件没加壳,直接查找ASCII字符串,找到与登陆有关的信息,以下是代码片段00426E81 /7321 jnbshort伊娃2_08.00426EA4 卡号不为空就跳,我们改为JMP00426E83 .
2、6A30 p
3、ush0x30 ;/Style=MB_OK
4、MB_ICONEXCLAMATION
5、MB_APPLMODAL00426E85 .
6、6818404600 push伊娃2_08.00464018 ;
7、提示00426E8A .
8、6820404600 push伊娃2_08.00464020 ;
9、请输入卡号!!00426E8F .
10、8B85E8F7FFFFmoveax,dwordptrss:[ebp-0x818] ;
11、00426E95 .
12、8B4820 movecx,dw
13、ordptrds:[eax+0x20] ;
14、00426E98 .
15、51 pushecx ;
16、hOwner00426E99 .
17、FF1590684500calldwordptrds:[<&USER32.MessageBoxA>>;MessageBoxA00426E9F .
18、E99C030000 jmp伊娃2_08.0042724000426EA4 >8D95F0F7FFFFleaedx,dwordptrss:[ebp-0x810]00426EAA . 52 pushedx
19、 ;/s00426EAB . E8CCB30200 call ;strlen00426EB0 . 83C404 addesp,0x400426EB3 . 83F820 cmpeax,0x2000426EB6 7423 jeshort伊娃2_08.00426EDB 同上,改为JMP00426EB8 . 6A30 push0x30 ;/Style=MB_OK
20、MB_ICONEXCLAMATION
21、M
22、B_APPLMODAL00426EBA . 8D85F0F7FFFFleaeax,dwordptrss:[ebp-0x810] ;
23、00426EC0 . 50 pusheax ;
24、Title00426EC1 . 6830404600 push伊娃2_08.00464030 ;
25、卡号长度不正确,应为32个字节!!00426EC6 . 8B8DE8F7FFFFmovecx,dwordptrss:[ebp-0x818] ;
26、00426ECC . 8B5120
27、 movedx,dwordptrds:[ecx+0x20] ;
28、00426ECF . 52 pushedx ;
29、hOwner00426ED0 . FF1590684500calldwordptrds:[<&USER32.MessageBoxA>>;MessageBoxA00426ED6 . E965030000 jmp伊娃2_08.0042724000426EDB > 8D85F0FBFFFFleaeax,dwordptrss:[ebp-0x410]00426EE1 . 50
30、pusheax ;/s00426EE2 . E895B30200 call ;strlen00426EE7 . 83C404 addesp,0x400426EEA . 83F801 cmpeax,0x100426EED 7321 jnbshort伊娃2_08.00426F10 同上,改为JMP00426EEF . 6A30