淡然出尘 发表于 2013-1-5 00:19

修改加密的程序标题及字符串过程详解、

本帖最后由 淡然出尘 于 2013-1-5 01:08 编辑

对象:

工具: OD等

要求目的:1、将标题“小虾米淘宝小号信誉查询 v1.6”改为“淘宝信誉查询 [吾爱]”;
               2、将内容“http://www.xiaoxiamiruanjian.com/”改为“http://www.52pojie.cn”;



详细过程:

1、查壳并确定编写语言
ExeinfoPE载入,结果如图:,由此可以判定程序可能是VC++编写,无壳,但是再载入资源编辑器,如下图:

图中显示的文本如:“下一页”“删除”等在软件界面中都没得显示,则为易语言编写;

2、用资源编辑器 或 16进制编辑器尝试修改
根据以上可知用直观的资源编辑工具是无法对该程序进行资源编辑的。倒是可以用16进制编辑器,如UE、WinHex等试试。但是用WinHex 直接搜索文本
“小虾米淘宝小号信誉查询 v1.6 ”“http://www.xiaoxiamiruanjian.com/ ”均提示“共发现0次”,而其他字符串如“账号数量”则可以找到。由此说明这两个字符串在软件中
是加密的,只好用OD调试修改;

3、修改文件主过程
OD载入程序,搜索所有ASCII码的有效结果如下:
00405208   push 小虾米淘.0049CB4C                        查询
00405332   mov eax,小虾米淘.0049CB4C                     查询
004053A9   push 小虾米淘.0049CB51                        停止
004053E2   push 小虾米淘.0049CB51                        停止
0040543E   push 小虾米淘.0049CB4C                        查询
0040568F   mov ebx,小虾米淘.004257C0                     j
00405716   push 小虾米淘.0049CB4C                        查询
004057FA   push 小虾米淘.0049CB5E                        分钟
00405802   push 小虾米淘.0049CB63                        耗时:
0040589D   push 小虾米淘.0049CB72                        小时
004058A5   push 小虾米淘.0049CB63                        耗时:
00405913   push 小虾米淘.0049CB77                        毫秒
0040591B   push 小虾米淘.0049CB63                        耗时:
0040595B   push 小虾米淘.0049CB7C                        所有账号一查询完毕!
00405977   push 小虾米淘.0049CB91                        查询完成
00405AD0   push 小虾米淘.0049CB9A                        查询中
00405BB1   mov eax,小虾米淘.0049CBA1                     "
00405BBD   mov eax,小虾米淘.0049CBA3                     <li><a class="icon icon-jianghu" href="
00405C42   mov eax,小虾米淘.0049CBCB                     不查询
00405C61   mov eax,小虾米淘.0049CBD2                     无效账号
00406184   mov eax,小虾米淘.004A4441                     #@~^SwAAAA==YG!YzFuZsuAzYZ2]9GuZ/YGc]~q]zv]GTYb8]~bYZXYG!YZlYf2]o3uA Y3O]9Fu)w]+Z\8] Avtg8AAA==^#~@
0040621F   mov eax,小虾米淘.004A44A5                     #@~^KwAAAA==4DY2=]ys]ysSAhu 36blGabl:b.EmxLbCU]y21Wh]+ozg4AAA==^#~@
004063D9   mov eax,小虾米淘.004A44E9                     SkinH_AttachRes
004070CE   mov eax,小虾米淘.004B9F01                     GdiTransparentBlt
004070DA   mov eax,小虾米淘.004B9F13                     gdi32
00407263   push 小虾米淘.004B9F21                        20
004072A4   push 小虾米淘.004B9F24                        暂停
004072F3   push 小虾米淘.004B9F29                        继续
0040732C   push 小虾米淘.004B9F29                        继续
0040737B   push 小虾米淘.004B9F24                        暂停
004074AE   mov dword ptr ds:,小虾米淘.004B9F9E      尊@
004078C7   mov eax,小虾米淘.004BA10E                     http://member1.taobao.com/member/userProfile.jhtml?userID={账号}
00407914   push 小虾米淘.004BA14F                        {账号}
004079DC   mov eax,小虾米淘.004BA156                     GET
00407AD9   mov eax,小虾米淘.004BA15A                     淘宝正在对该店铺盘点
00407B8E   mov eax,小虾米淘.004BA10E                     http://member1.taobao.com/member/userProfile.jhtml?userID={账号}
00407BDB   push 小虾米淘.004BA14F                        {账号}
00407CA3   mov eax,小虾米淘.004BA156                     GET
00407DA0   mov eax,小虾米淘.0049CAA0                     手机验证
00407DEA   mov eax,小虾米淘.0049CAA0                     手机验证
00407E2D   mov eax,小虾米淘.004BA187                     支付宝实名认证
00407E77   mov eax,小虾米淘.0049CA90                     支付宝实名
00407E86   mov eax,小虾米淘.0049CA89                     未验证
00407F04   mov eax,小虾米淘.004BA196                     http://wwpartner.taobao.com/trad ... ginId=&uid=cntaobao{账号}&ver=7.10.06T
00407F51   push 小虾米淘.004BA14F                        {账号}
00408019   mov eax,小虾米淘.004BA156                     GET
0040812E   mov eax,小虾米淘.004BA1F2                     </li>
0040813A   mov eax,小虾米淘.004BA1F8                     注册时间:
004081A1   mov eax,小虾米淘.004BA1F2                     </li>
004081AD   mov eax,小虾米淘.004BA203                     上次登录:
00408214   mov eax,小虾米淘.004BA20E                     http://pics.taobaocdn.com/newrank/b_blue_
00408259   mov eax,小虾米淘.004BA238                     .gif
00408265   mov eax,小虾米淘.004BA20E                     http://pics.taobaocdn.com/newrank/b_blue_
004082A5   push 小虾米淘.004BA23D                        钻
004082F9   mov eax,小虾米淘.004BA240                     http://pics.taobaocdn.com/newrank/b_red_
0040833E   mov eax,小虾米淘.004BA238                     .gif
0040834A   mov eax,小虾米淘.004BA240                     http://pics.taobaocdn.com/newrank/b_red_
0040838A   push 小虾米淘.004BA269                        心
004083DE   mov eax,小虾米淘.004BA26C                     http://pics.taobaocdn.com/newrank/b_cap_
00408423   mov eax,小虾米淘.004BA238                     .gif
0040842F   mov eax,小虾米淘.004BA26C                     http://pics.taobaocdn.com/newrank/b_cap_
0040846F   push 小虾米淘.004BA295                        冠
004084B8   mov eax,小虾米淘.0049CAA9                     0心
00408619   mov eax,小虾米淘.004BA156                     GET
0040872D   mov eax,小虾米淘.004BA298                     此用户已经被淘宝冻结
00408767   mov eax,小虾米淘.0049CA7A                     异常
00408795   mov eax,小虾米淘.004BA2AD                     该账号存在被盗风险,暂时不能登录且不能进行交易
004087CF   mov eax,小虾米淘.004BA2DC                     交易异常
004087F2   mov eax,小虾米淘.0049CA75                     正常
代码中红色标记的部分很可能是“ 小虾米淘宝小号信誉查询 v1.6 ”“ http://www.xiaoxiamiruanjian.com/ ” 分别进行加密后的字符串,然后双击其中一个进入
如下图:


在上面的那个Call语句下断点,运行断下之后,F8单步,过了下一个Call后你会发现 下图:



又出现一段不同的字符串,那一定是解了第一层密之后的字符,但是还是未得到我们需要修改的文本,这是我们就需要根据我们对于破解和
加密解密的敏感程度了,看下图示:

则不难看出 这两个字符串的加密过程为:源字符串----->URL编码----->Encode加密,也即是经过两次加密,所以修改的思路可以为直接修改Encode码,修改成为
我们想要的,如下:
淘宝信誉查询 [吾爱] ---->%CC%D4%B1%A6%D0%C5%D3%FE%B2%E9%D1%AF%20%5B%CE%E1%B0%AE%5D------->#@~^PQAAAA==Y;ZYGcuAFub+YfZ]/*uffYw2]~+]A,]GqYbw]y!Y*$Y;2Y28YAZ])3u*f@#@&4gsAAA==^#~@

http://www.52pojie.cn ------> http%3A%2F%2Fwww.52pojie.cn----> #@~^GwAAAA==4DY2u&z] w]yohSh *ywG%b+R1UowgAAA==^#~@

提示:URL编码方法直接百度
         Encode加密用本贴中提供的”DecodeScripting_Pro “   具体方法为:编码----->数据类型为”.JS“,然后复制字符,点击编码即可;

4、具体修改的方法:
双击“#@~^KwAAAA==4DY2=]ys]ysSAhu 36....”进入调试界面,然后右击选择“数据窗口跟随(立即数)”,选定“ #@~^KwAAAA==4DY2=]ys]ysSAhu 36blGabl:b.EmxLbCU]y21Wh]+ozg4AAA==^#~@ ”将其修改为“#@~^GwAAAA==4DY2u&z] w]yohSh *ywG%b+R1UowgAAA==^#~@ ”将位数补全即可;
标题的修改方法也是一样的,具体不在累述,很晚了、






-------------------------------------
本文原创于吾爱破解技术论坛,只用于技术交流之用、
全程由@bambooqj 指导,我只是整理了一下,如果有什么错误请大牛不吝指出、

By自浩
2013/01/05

bambooqj 发表于 2013-1-5 00:25

佛说丶 发表于 2013-1-5 00:46

努力努力 学破解

阿杰 发表于 2013-1-5 00:53

看起来不是很难有空实践下

t711s 发表于 2013-1-5 01:07

很好的教程,值得学习!

bnb 发表于 2013-1-5 04:48

本帖最后由 bnb 于 2013-1-5 21:58 编辑

{:1_900:}
怎么复杂
我有种最简单的
直接API写源码
DLL.EXE全部都有效果
不用找关键API
通杀所有...
一个代码的问题
我比较喜欢低调
不喜欢装B...

Rookietp 发表于 2013-1-5 17:00

{:1_930:}拜读文章,师傅V5.

qfhy123 发表于 2013-1-5 17:25

bambooqj 发表于 2013-1-5 00:25 static/image/common/back.gif
不用标记我的名字 不好意思   还有 其实并非二次解密   只不过是。encode的编码问题。中文的话编码需要进 ...

加密标题修改貌似论坛很少啊学习了

感情 发表于 2013-1-5 18:19

完全看不懂................

小雨细无声 发表于 2013-1-5 18:48

好详细的教程啊,谢谢
页: [1] 2 3 4 5
查看完整版本: 修改加密的程序标题及字符串过程详解、