吾爱破解2012CM大赛破文-zhi5231
本帖最后由 Puncture_sx 于 2012-4-30 18:31 编辑【文章标题】:吾爱破解2012CM大赛破文
【文章作者】: Puncture_sx【软件名称】: zhi5231.exe
【难 度】: 中【下载地址】:
查壳:Microsoft Visual C++ ver 5.0/6.0再看看程序图标,是易语言无疑了,好了我们开始,刚刚zhi5231爆掉了我的菊花,这次要爆回来~~~~用E-Debug Events查找一下,嗯好习惯接下来就郁闷了,怎么点都没有效果……我们od载入试试F9运行,发现od瞬间被干掉!! 我汗了,那我们先看一下字串 把字串拉到最上面,发现一个保护,是不是就是这个?我们双击进入,找到段首00401004/.55 push ebp00401005|.8BEC mov ebp,esp00401007|.81EC 0C000000 sub esp,0xC0040100D|.8965 FC mov ,esp把00401004 retn掉后保存好了,OD打开保存的那个,再F9运行,一切正常 右键—查找----二进制字串FF55FC5F话说我们呢就来到这个CALL了,好了F9运行一下之后在CALL上下断然后按按钮断下来之后断点取消,ENTER进入00401087/.55 push ebp00401088|.8BEC mov ebp,esp0040108A|.81EC 0C000000 sub esp,0xC00401090|.833D 50604C00>cmp dword ptr ds:,0x200401097|.0F85 05000000 jnz zhi52311.004010A20040109D|.E9 0A000000 jmp zhi52311.004010AC004010A2|>C705 50604C00>mov dword ptr ds:,0x1F2F0E8B004010AC|>E8 E1020000 call zhi52311.00401392004010B1|.6A FF push -0x1004010B3|.6A 08 push 0x8004010B5|.68 09000116 push 0x16010009004010BA|.68 01000152 push 0x52010001来到核心了,准备爆菊花了,在段首下断F2然后单步走,慢慢走别急到了这个,跳转NOP掉00401187|. /0F85 01020000 jnz zhi52311.0040138E继续单步,又到一个跳转NOP掉0040128E|. /0F85 FA000000 jnz zhi52311.0040138E又是一个跳转NOP掉00401379|. /0F85 0F000000 jnz zhi52311.0040138E这个时候F9运行了 你就会发现,破解成功了! 膜拜之~~~ 膜拜楼上全部大牛 这破文不错,zhi大这个CM我被忽悠了3处.
1.anti (信好有字符串可供参考,段首retn掉,就可以了)
2.E-debug也被干翻了。。。(看了Kris大的贴明白了),查找二进制字串FF55FC5F(按钮事件特征码) 可以解决(小菜今天才知道这样办)
3.验证有3处,一二处容易发现,因为跳转相对较大,第三处在段尾(注意这里的jnz XXXX地址 与一二处相同-失败处),全部nop掉后发现爆菊成功。
希望zhi大不吝赐教 1.2步的anti实现方法。 本帖最后由 sunflover 于 2012-5-19 13:14 编辑
sunflover 发表于 2012-5-19 00:47 static/image/common/back.gif
这破文不错,zhi大这个CM我被忽悠了3处.
1.anti (信好有字符串可供参考,段首retn掉,就可以了)
2.E-de ...
菜鸟就是菜呀,不看到代码不明白......
希望zhi大详细说一下开始处的anti如何实现的
神不知 鬼不觉啊这点子不错
页:
[1]