网站 › 『脱壳破解区』 › 给IDR再动动手术

冥界3大法王 发表于 2022-8-26 21:40

给IDR再动动手术

本帖最后由 冥界3大法王 于 2022-8-26 21:54 编辑

大家 还记得上次修复IDR不能解析的问题吗？

今天发现的周润发贴的CrackME，竟然又出来个新提示："Cannot open KnowledgeBase (may be incorrect Version)"
点击过后，又不能反汇编查看Delphi过程了。还是打开x32dbg吧。
定位到下面的代码：


00425536   | E8 055D0400       | call 强制去崩溃版idr.46B240                  |
0042553B   | 33C9            | xor ecx,ecx                            |
0042553D   | 8AC8            | mov cl,al                              |
0042553F   | 898D 04FFFFFF   | mov dword ptr ss:,ecx          |
00425545   | 8B85 04FFFFFF   | mov eax,dword ptr ss:          |
0042554B   | 85C0            | test eax,eax                           |
0042554D   | 0F85 30010000   | jne 强制去崩溃版idr.425683                   | ========>修改这里即可跳过！
00425553   | 8B15 C4C06D00   | mov edx,dword ptr ds:          | 006DC0C4:"h餸"
00425559   | 8B02            | mov eax,dword ptr ds:             |
0042555B   | 33D2            | xor edx,edx                            |
0042555D   | E8 166C1A00       | call 强制去崩溃版idr.5CC178                  |
00425562   | 66:C785 2CFFFFFF| mov word ptr ss:,C8            |
0042556B   | 8D55 F4         | lea edx,dword ptr ss:         |
0042556E   | 8D45 94         | lea eax,dword ptr ss:          |
00425571   | E8 86DF2400       | call 强制去崩溃版idr.6734FC                  |
00425576   | 8BD0            | mov edx,eax                            |
00425578   | FF85 38FFFFFF   | inc dword ptr ss:            | :&"坛c"
0042557E   | 33C0            | xor eax,eax                            |
00425580   | 8945 90         | mov dword ptr ss:,eax          |
00425583   | 8D4D 90         | lea ecx,dword ptr ss:          |
00425586   | FF85 38FFFFFF   | inc dword ptr ss:            | :&"坛c"
0042558C   | B8 5FCA6800       | mov eax,强制去崩溃版idr.68CA5F               | 68CA5F:"Cannot open Knowledge Base file "
00425591   | E8 CEE72400       | call 强制去崩溃版idr.673D64                  |
00425596   | 8D55 90         | lea edx,dword ptr ss:          |
00425599   | 52                | push edx                               |
0042559A   | BA 80CA6800       | mov edx,强制去崩溃版idr.68CA80               | 68CA80:" (may be incorrect Version)"

大家可以对比下IDR和DEDE的区别，作为互补还是非常不错的选择。


用此可以自己制作 按钮事件。
当然了，如果会Delphi编程，根据目标程序猜测着写对应事件，反向修改成功还是可行的。
例如HelpAndManual8过期后文档的不可编辑状态，如果会了编程，那分分钟就能猜一个实现出来(查看过程的开始与结束点的地址)，再抄机器码反向过去就直接开改了。
这样定位操作起来实在是太轻松了。
具体实现敬请关注法王连续剧续作。。。

lelandyang 发表于 2022-8-27 15:24

冥界3大法王 发表于 2022-8-27 09:32
https://drive.google.com/drive/folders/1IBsO1_O9xGHkPPV9Pnqkq2uoFmuak5C7?usp=sharing
@lelandyang...

在52pojie里面有人提到过开源，你搜一下就可以看到。

冥界3大法王 发表于 2022-8-27 09:32

lelandyang 发表于 2022-8-26 22:42
IDR已经开源了，可以直接修改源代码。建议前去提交PR。

https://drive.google.com/drive/folders/1IBsO1_O9xGHkPPV9Pnqkq2uoFmuak5C7?usp=sharing
@lelandyang
你说的这个知识库打不开啊。

冥界3大法王 发表于 2022-8-26 21:57

本文目的告诉你，当反汇编工具出现问题后，不要立马放弃，扔到调试器里找找原因动动手术；
没准又能为你工作了。

ABC9758 发表于 2022-8-26 22:12

{:1_921:}感谢分享

lelandyang 发表于 2022-8-26 22:42

IDR已经开源了，可以直接修改源代码。建议前去提交PR。

maniacwj 发表于 2022-8-27 00:03

看标题，还当是大价IDR，地平线玩太多了，支持一波

cjie12345789 发表于 2022-8-27 01:02

bm11459 发表于 2022-8-27 01:02

hahaleizi123 发表于 2022-8-27 08:29

不明觉厉！！！

Noren 发表于 2022-8-27 09:14

感谢分享

查看完整版本: 给IDR再动动手术