Chief 发表于 2012-12-11 21:46

[新手教程]咪兔软件,利用字符串快速定位破解。

本帖最后由 Chief 于 2012-12-13 18:37 编辑

【文章标题】: [新手教程]咪兔软件,利用字符串快速定位破解。
【文章作者】: Chief
【作者邮箱】: SmileChief@163.com
【作者主页】: http://hi.baidu.com/new/SmileChief
【软件名称】: 咪兔系统软件
【保护方式】: 压缩壳
【使用工具】: OD,补丁工具
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
这里就以“咪兔QQ五子棋助手”演示
查壳UPX 压缩壳。


ESP定律可以快速脱掉,这里就不演示,今天演示带壳调试,用补丁破解。


载入OD,F9运行, 快捷键:Ctrl+G输入401000,搜索ASCLL。

快捷键:Ctrl+F输入 loginDUI   
PS:为什么定位搜索 loginDUI   具体看视频动画,里面有讲。

定位到如下图,
loginDUI往上看,找到isSavePsw 双击进去


loginDUI往上看,找到isSavePsw 双击进去
来到如下图

0040A5F0    83EC 10         sub esp,0x10
0040A5F3    53            push ebx
0040A5F4    55            push ebp
0040A5F5    56            push esi
0040A5F6    8B7424 20       mov esi,dword ptr ss:
0040A5FA    57            push edi
0040A5FB    8DBE 50010000   lea edi,dword ptr ds:
0040A601    8BCF            mov ecx,edi
0040A603    E8 68610000   call Me2QQZha.00410770
0040A608    85C0            test eax,eax
0040A60A    0F84 14010000   je Me2QQZha.0040A724
0040A610    8BCF            mov ecx,edi
0040A612    E8 49630000   call Me2QQZha.00410960
0040A617    85C0            test eax,eax
0040A619    0F84 05010000   je Me2QQZha.0040A724
0040A61F    8B86 BC090000   mov eax,dword ptr ds:
0040A625    8DBE A4070000   lea edi,dword ptr ds:
0040A62B    50            push eax
0040A62C    68 F4544100   push Me2QQZha.004154F4                   ; isSavePsw
0040A631    68 94544100   push Me2QQZha.00415494                   ; login
0040A636    8BCF            mov ecx,edi
0040A638    E8 F35C0000   call Me2QQZha.00410330
0040A63D    8B86 BC090000   mov eax,dword ptr ds:
0040A643    33DB            xor ebx,ebx
0040A645    3BC3            cmp eax,ebx
0040A647    74 53         je short Me2QQZha.0040A69C
0040A649    8D9E 54010000   lea ebx,dword ptr ds:
0040A64F    53            push ebx
0040A650    E8 DB550000   call Me2QQZha.0040FC30
0040A655    83C4 04         add esp,0x4
0040A658    8BCF            mov ecx,edi


这里有三个跳转往下跳
分别是
0040A60A   /0F84 14010000   je Me2QQZha.0040A724
0040A619   /0F84 05010000   je Me2QQZha.0040A724
0040A647   /74 53         je short Me2QQZha.0040A69C

我们在第一个地址 0040A60A -----F2下断

随便输入账号,密码 点击登陆
此时会断到 0040A60A 这里
跳转未实现,不管他,
往下看,来到

00406A67    E8 34700000   call Me2QQWZQ.0040DAA0---验证CALL
00406A6C    85C0            test eax,eax
00406A6E    0F84 F8000000   je Me2QQWZQ.00406B6C-- 关键跳


00406A6E下断,F9运行,发现跳转实现 ,我们让他不实现

我们修改,
修改如下
00406A6E
0F 84 14 01 00 00
改成
90 90 90 90 90 90
也可以改成
0F 85 14 01 00 00



此时F9运行,就成功载入功能界面了。

现在来搞定退出,软件会检测,每使用一个兔币就检测一次,5分钟检测一次。

来到字符串窗口
快捷键:Ctrl+F输入 updateRtInfo
总共有两个,选中最后一个
如下图 双击


来到

往下拉
00406C8A    BF 44364100   mov edi,Me2QQWZQ.00413644                ; updateRtInfo00406C8F    FF15 1CF14000   call dword ptr ds:             ; kernel32.GetTickCount
00406C95    8BC8            mov ecx,eax
00406C97    8945 F4         mov dword ptr ss:,eax
00406C9A    2B4D FC         sub ecx,dword ptr ss:
00406C9D    81F9 60EA0000   cmp ecx,0xEA60
00406CA3    76 26         jbe short Me2QQWZQ.00406CCB
00406CA5    83EC 10         sub esp,0x10
00406CA8    8945 FC         mov dword ptr ss:,eax
00406CAB    8BC4            mov eax,esp
00406CAD    8BCB            mov ecx,ebx
00406CAF    57            push edi
00406CB0    8360 08 00      and dword ptr ds:,0x0
00406CB4    66:C700 0300    mov word ptr ds:,0x3
00406CB9    8D45 E4         lea eax,dword ptr ss:
00406CBC    50            push eax
00406CBD    E8 1E2B0000   call Me2QQWZQ.004097E0
00406CC2    8D45 E4         lea eax,dword ptr ss:
00406CC5    50            push eax
00406CC6    FFD6            call esi
00406CC8    8B45 F4         mov eax,dword ptr ss:
00406CCB    8BC8            mov ecx,eax
00406CCD    2B4D F8         sub ecx,dword ptr ss:
00406CD0    81F9 E0930400   cmp ecx,0x493E0
00406CD6    76 41         jbe short Me2QQWZQ.00406D19
00406CD8    8D8B 50010000   lea ecx,dword ptr ds:
00406CDE    8945 F8         mov dword ptr ss:,eax
00406CE1    E8 CA6B0000   call Me2QQWZQ.0040D8B0
00406CE6    85C0            test eax,eax
00406CE8    74 3F         je short Me2QQWZQ.00406D29
00406CEA    8D8B 50010000   lea ecx,dword ptr ds:
00406CF0    E8 AB6D0000   call Me2QQWZQ.0040DAA0
00406CF5    85C0            test eax,eax
00406CF7    74 30         je short Me2QQWZQ.00406D29


0040B3F9   /74 44         je short Me2QQZha.0040B43F
0040B404   /74 39         je short Me2QQZha.0040B43F
我们发现这两个跳转直接跳到退出,

00406CD6   /76 41         jbe short Me2QQWZQ.00406D19   
跳过这两个跳。

我们来修改一下,直接Nop掉即可
0040B3F9---这里没触发,这里可以不改
--------
0040B404   这里NOP掉
74 39
改成
90 90
也可以修改
00406CD6    jbe改成JMP
76 41
改成
EB 41

此时,软件就破解完毕。



破解很简单,大家可以去练练手。

哪里不懂可以回帖提问,应该有时候会说漏点什么,毕竟只是分享一下方法,而且软件作者也有可能更新,破解方法很多,只是靠大家去挖掘。
这里能做到的就是分享方法,互相交流。


用樱花补丁工具简单制作补丁



咪兔系列软件合集 Patch
http://www.52pojie.cn/thread-175836-1-1.html
[新手动画]咪兔软件,利用字符串快速定位破解。
http://www.52pojie.cn/thread-175839-1-1.html

--------------------------------------------------------------------------------
【版权声明】: 本文原创于Chief, 转载请注明作者并保持文章的完整, 谢谢!

                                                      更新于2012年12月12日 19:00:00   



1254981099 发表于 2012-12-11 21:54

支持楼主
好东西啊
好好学习一下

fanshuzi 发表于 2012-12-11 22:15

我想说咪兔的那个五子棋在WIN7 破解失效。

林先生_。 发表于 2012-12-11 22:20

先回复在看详细   
好东西啊   
对于我们新手来说

Hnly 发表于 2012-12-11 22:34

本帖最后由 Hnly 于 2012-12-11 23:55 编辑

欣哥 你的作品给我五体投地啊 ,教程很完美也是很简单的办法破解。。。比之前那个帅哥的教程详细。欣哥 收徒弟吗

kuwo911 发表于 2012-12-11 22:36

学习 Chief 牛大作,多谢详解 !

871738096 发表于 2012-12-11 23:01

去壳,后无法运行了!

Hnly 发表于 2012-12-11 23:57

本帖最后由 Hnly 于 2012-12-12 00:01 编辑

0040B3F9   /74 44         je short Me2QQZha.0040B43F
0040B404   /74 39         je short Me2QQZha.0040B43F
我们发现这两个跳转直接跳到退出,
我们来修改一下,直接Nop掉即可
0040B3F9
74 44
改成
90 90
--------
0040B404
74 39
改成
90 90

软件会检测,每使用一个兔币就检测一次,5分钟检测一次。

欣哥 我直接修改这里我登陆账号
你说软件还会5分钟检测一次吗?
双层壳,两次ESP即可脱掉,但是用XUP静态脱壳软件脱 你说软件还会校验吗?

1002217709 发表于 2012-12-12 00:45

为什么知道去搜这些字符串呢?给点经验

871738096 发表于 2012-12-12 01:21

只有2个updateRtInfo选择最后1个上有2个跳转   全部NOP但是晓不得对不对。。

原来是:

004081A7   /74 07         je XMe2QQZGX.004081B0
004081A9   |E8 710D0000   call Me2QQZGX.00408F1F
004081AE   |EB 02         jmp XMe2QQZGX.004081B2
004081B0   \33C0            xor eax,eax
004081B2    50            push eax


改成


004081A7    90            nop
004081A8    90            nop
004081A9    E8 710D0000   call Me2QQZGX.00408F1F
004081AE    90            nop
004081AF    90            nop
004081B0    33C0            xor eax,eax
004081B2    50            push eax
页: [1] 2 3 4 5 6
查看完整版本: [新手教程]咪兔软件,利用字符串快速定位破解。