修改加密的程序标题及字符串过程详解、
本帖最后由 淡然出尘 于 2013-1-5 01:08 编辑对象:
工具: OD等
要求目的:1、将标题“小虾米淘宝小号信誉查询 v1.6”改为“淘宝信誉查询 [吾爱]”;
2、将内容“http://www.xiaoxiamiruanjian.com/”改为“http://www.52pojie.cn”;
详细过程:
1、查壳并确定编写语言
ExeinfoPE载入,结果如图:,由此可以判定程序可能是VC++编写,无壳,但是再载入资源编辑器,如下图:
图中显示的文本如:“下一页”“删除”等在软件界面中都没得显示,则为易语言编写;
2、用资源编辑器 或 16进制编辑器尝试修改
根据以上可知用直观的资源编辑工具是无法对该程序进行资源编辑的。倒是可以用16进制编辑器,如UE、WinHex等试试。但是用WinHex 直接搜索文本
“小虾米淘宝小号信誉查询 v1.6 ”“http://www.xiaoxiamiruanjian.com/ ”均提示“共发现0次”,而其他字符串如“账号数量”则可以找到。由此说明这两个字符串在软件中
是加密的,只好用OD调试修改;
3、修改文件主过程
OD载入程序,搜索所有ASCII码的有效结果如下:
00405208 push 小虾米淘.0049CB4C 查询
00405332 mov eax,小虾米淘.0049CB4C 查询
004053A9 push 小虾米淘.0049CB51 停止
004053E2 push 小虾米淘.0049CB51 停止
0040543E push 小虾米淘.0049CB4C 查询
0040568F mov ebx,小虾米淘.004257C0 j
00405716 push 小虾米淘.0049CB4C 查询
004057FA push 小虾米淘.0049CB5E 分钟
00405802 push 小虾米淘.0049CB63 耗时:
0040589D push 小虾米淘.0049CB72 小时
004058A5 push 小虾米淘.0049CB63 耗时:
00405913 push 小虾米淘.0049CB77 毫秒
0040591B push 小虾米淘.0049CB63 耗时:
0040595B push 小虾米淘.0049CB7C 所有账号一查询完毕!
00405977 push 小虾米淘.0049CB91 查询完成
00405AD0 push 小虾米淘.0049CB9A 查询中
00405BB1 mov eax,小虾米淘.0049CBA1 "
00405BBD mov eax,小虾米淘.0049CBA3 <li><a class="icon icon-jianghu" href="
00405C42 mov eax,小虾米淘.0049CBCB 不查询
00405C61 mov eax,小虾米淘.0049CBD2 无效账号
00406184 mov eax,小虾米淘.004A4441 #@~^SwAAAA==YG!YzFuZsuAzYZ2]9GuZ/YGc]~q]zv]GTYb8]~bYZXYG!YZlYf2]o3uA Y3O]9Fu)w]+Z\8] Avtg8AAA==^#~@
0040621F mov eax,小虾米淘.004A44A5 #@~^KwAAAA==4DY2=]ys]ysSAhu 36blGabl:b.EmxLbCU]y21Wh]+ozg4AAA==^#~@
004063D9 mov eax,小虾米淘.004A44E9 SkinH_AttachRes
004070CE mov eax,小虾米淘.004B9F01 GdiTransparentBlt
004070DA mov eax,小虾米淘.004B9F13 gdi32
00407263 push 小虾米淘.004B9F21 20
004072A4 push 小虾米淘.004B9F24 暂停
004072F3 push 小虾米淘.004B9F29 继续
0040732C push 小虾米淘.004B9F29 继续
0040737B push 小虾米淘.004B9F24 暂停
004074AE mov dword ptr ds:,小虾米淘.004B9F9E 尊@
004078C7 mov eax,小虾米淘.004BA10E http://member1.taobao.com/member/userProfile.jhtml?userID={账号}
00407914 push 小虾米淘.004BA14F {账号}
004079DC mov eax,小虾米淘.004BA156 GET
00407AD9 mov eax,小虾米淘.004BA15A 淘宝正在对该店铺盘点
00407B8E mov eax,小虾米淘.004BA10E http://member1.taobao.com/member/userProfile.jhtml?userID={账号}
00407BDB push 小虾米淘.004BA14F {账号}
00407CA3 mov eax,小虾米淘.004BA156 GET
00407DA0 mov eax,小虾米淘.0049CAA0 手机验证
00407DEA mov eax,小虾米淘.0049CAA0 手机验证
00407E2D mov eax,小虾米淘.004BA187 支付宝实名认证
00407E77 mov eax,小虾米淘.0049CA90 支付宝实名
00407E86 mov eax,小虾米淘.0049CA89 未验证
00407F04 mov eax,小虾米淘.004BA196 http://wwpartner.taobao.com/trad ... ginId=&uid=cntaobao{账号}&ver=7.10.06T
00407F51 push 小虾米淘.004BA14F {账号}
00408019 mov eax,小虾米淘.004BA156 GET
0040812E mov eax,小虾米淘.004BA1F2 </li>
0040813A mov eax,小虾米淘.004BA1F8 注册时间:
004081A1 mov eax,小虾米淘.004BA1F2 </li>
004081AD mov eax,小虾米淘.004BA203 上次登录:
00408214 mov eax,小虾米淘.004BA20E http://pics.taobaocdn.com/newrank/b_blue_
00408259 mov eax,小虾米淘.004BA238 .gif
00408265 mov eax,小虾米淘.004BA20E http://pics.taobaocdn.com/newrank/b_blue_
004082A5 push 小虾米淘.004BA23D 钻
004082F9 mov eax,小虾米淘.004BA240 http://pics.taobaocdn.com/newrank/b_red_
0040833E mov eax,小虾米淘.004BA238 .gif
0040834A mov eax,小虾米淘.004BA240 http://pics.taobaocdn.com/newrank/b_red_
0040838A push 小虾米淘.004BA269 心
004083DE mov eax,小虾米淘.004BA26C http://pics.taobaocdn.com/newrank/b_cap_
00408423 mov eax,小虾米淘.004BA238 .gif
0040842F mov eax,小虾米淘.004BA26C http://pics.taobaocdn.com/newrank/b_cap_
0040846F push 小虾米淘.004BA295 冠
004084B8 mov eax,小虾米淘.0049CAA9 0心
00408619 mov eax,小虾米淘.004BA156 GET
0040872D mov eax,小虾米淘.004BA298 此用户已经被淘宝冻结
00408767 mov eax,小虾米淘.0049CA7A 异常
00408795 mov eax,小虾米淘.004BA2AD 该账号存在被盗风险,暂时不能登录且不能进行交易
004087CF mov eax,小虾米淘.004BA2DC 交易异常
004087F2 mov eax,小虾米淘.0049CA75 正常
代码中红色标记的部分很可能是“ 小虾米淘宝小号信誉查询 v1.6 ”“ http://www.xiaoxiamiruanjian.com/ ” 分别进行加密后的字符串,然后双击其中一个进入
如下图:
在上面的那个Call语句下断点,运行断下之后,F8单步,过了下一个Call后你会发现 下图:
又出现一段不同的字符串,那一定是解了第一层密之后的字符,但是还是未得到我们需要修改的文本,这是我们就需要根据我们对于破解和
加密解密的敏感程度了,看下图示:
则不难看出 这两个字符串的加密过程为:源字符串----->URL编码----->Encode加密,也即是经过两次加密,所以修改的思路可以为直接修改Encode码,修改成为
我们想要的,如下:
淘宝信誉查询 [吾爱] ---->%CC%D4%B1%A6%D0%C5%D3%FE%B2%E9%D1%AF%20%5B%CE%E1%B0%AE%5D------->#@~^PQAAAA==Y;ZYGcuAFub+YfZ]/*uffYw2]~+]A,]GqYbw]y!Y*$Y;2Y28YAZ])3u*f@#@&4gsAAA==^#~@
http://www.52pojie.cn ------> http%3A%2F%2Fwww.52pojie.cn----> #@~^GwAAAA==4DY2u&z] w]yohSh *ywG%b+R1UowgAAA==^#~@
提示:URL编码方法直接百度
Encode加密用本贴中提供的”DecodeScripting_Pro “ 具体方法为:编码----->数据类型为”.JS“,然后复制字符,点击编码即可;
4、具体修改的方法:
双击“#@~^KwAAAA==4DY2=]ys]ysSAhu 36....”进入调试界面,然后右击选择“数据窗口跟随(立即数)”,选定“ #@~^KwAAAA==4DY2=]ys]ysSAhu 36blGabl:b.EmxLbCU]y21Wh]+ozg4AAA==^#~@ ”将其修改为“#@~^GwAAAA==4DY2u&z] w]yohSh *ywG%b+R1UowgAAA==^#~@ ”将位数补全即可;
标题的修改方法也是一样的,具体不在累述,很晚了、
-------------------------------------
本文原创于吾爱破解技术论坛,只用于技术交流之用、
全程由@bambooqj 指导,我只是整理了一下,如果有什么错误请大牛不吝指出、
By自浩
2013/01/05
努力努力 学破解 看起来不是很难有空实践下 很好的教程,值得学习! 本帖最后由 bnb 于 2013-1-5 21:58 编辑
{:1_900:}
怎么复杂
我有种最简单的
直接API写源码
DLL.EXE全部都有效果
不用找关键API
通杀所有...
一个代码的问题
我比较喜欢低调
不喜欢装B... {:1_930:}拜读文章,师傅V5. bambooqj 发表于 2013-1-5 00:25 static/image/common/back.gif
不用标记我的名字 不好意思 还有 其实并非二次解密 只不过是。encode的编码问题。中文的话编码需要进 ...
加密标题修改貌似论坛很少啊学习了 完全看不懂................ 好详细的教程啊,谢谢