不脱壳破解(UPX壳)
本帖最后由 buzhifou01 于 2019-12-3 20:06 编辑1.软件破解
2.1软件介绍
本文破解的软件名为MemoriesOnTV.exe,他可以上传文件和运行上传的文件。
2.2软件运行
2.使用工具
[*]OD
[*]keymake
3.破解过程
3.1.查壳,发现是UPX壳
3.2.单步,右击ESP右边的红色地址,在内存中跟随,下硬件断点,f9,单步。
3.3.f9,输入e-mail和序列号,点击OK弹出错误提示框后,暂停程序,alt+k看堆栈看堆栈窗口。
3.4.选中Memories.636b84处函数,右键show call,进入CPU窗口
3.5.往上拉,发现4e74e8为关键函数,按f2下断,在弹出的提示框中点击确定,再点击OK,程序断在4e74e8处
3.6.在堆栈窗口中可以看到输入的信息,接着f7,单步到运行完4e74e8处的函数,运行到4e7005这能够发现程序实现的算法,运行完之后发现,没有出现明显的信息,则显然是不正常的,有可能是跳转指令的问题
3.7.接着继续进入到4e74e8处的函数,观察一下跳转指令,单步,发现4e6ef2处有一个关键跳,把这个地方的je指令改成jmp指令,接着运行到004E7156处,有XOR EBX,EBX,下面004E71C7有指令 MOV EAX,EBX,
3.8.要想注册成功,eax要为1,我们在看XOR EBX,EBX上方有个跳转指令,指令实现的话就会执行XOR EBX,EBX,接着nop掉这个跳转指令,最后注册成功。
3.9.接着制作一个内存补丁,运行keymake,按f6,上面一共修改过两个跳转指令,接着要填加修改前和修改后的指令信息,最后生成loader.exe,双击运行发现已注册,破解完毕。
下载链接:https://pan.baidu.com/s/1W-Q2UYHG2FdVcA1KGq_ePA
提取码:xuj0 使用了esp定律到达oep,F12暂停法到达关键跳,F7跟随call进行了算法,改了跳转,出call赋值达到破解。全篇知识点基础知识丰富,可以!只是有点。。。 很详细,楼主威武,辛苦了 学习了,感谢分享 哦豁,楼主牛批:lol 我尽量学学:lol 大神直接给搞定了,居然不用脱壳
很详细,楼主威武,辛苦了 佩服,技艺精湛才能这么玩。OD威武。 感谢分享