菜鸟看完【玩玩破解系列】分析已破解某辅助!
本帖最后由 xiaozhu7753 于 2023-11-10 05:28 编辑看完你也可以!!!!
学习原贴:https://www.52pojie.cn/thread-1358649-1-1.html
为什么选择这个,因为其他的看了 不会整有壳的64位的都有。
拖进OD后运行发现一个提示 发现非法工具,,没关系这是一个没有壳的辅助,直接智能搜索,发现了这!!直接进入 往上拉寻找入口点
F2下断,F8单步往下跟,到这个点,画框的线条不是红色说明没有跳过,我们直接把他 je改成jmp无条件跳过,经过多次的分析尝试 需要继续往下跟
因为他有多个暗庄应该,到了这里 还是一样 jnz改jmp无条件跳过 因为我多次跟里面有一个call是一个 关闭程序的,之后运行,使用API MessageBoxA 断点,然后输入假码
,断下后可以看到堆载区有两个红色的返回数据,红色标那个尝试断点是提示信息后点确定才断下,说明是已经是验证了的,没用
直接到绿色标的返回数据下,,之后往上拉,直到看到retn 下面的push ebp 这里就是入口点,F2 下断
断下后F8单步跟,小跳不用管,到了这里可以看到一个大跳,直接NOP掉,然后继续跟因为经过多次的运行分析 还没有完,到了这个CALL
后不知道为什么程序卡住了不运行了,但是没关系 复制记下 一会在CALL下面也就是push 0x13 这里继续下断,,断下后继续跟,,小跳不用管,,之后还会遇到和上面的一样卡住了 复制继续,,这里就是已经提示时间了
但是还没有完,他后面还有暗庄你任意点一个后他秒关程序,所以在call下面设置了断点,断下后继续跟,到了这个call后我们F7进入,如果你按F8单步走的话他就会关闭程序,所以关闭程序的代码就在这个call里面所以我们要F7进入这个CALL
去干掉关闭程序的代码,,进入后是这样子的继续F8单步跟,到了这里jge改jmp跳过,因为里面也有一个call是关闭程序的,还没完继续跟,又到了这里一样的,
一样jge改jmp,到了这里一样jge改jmp 因为不跳过里面也有call关闭程序,然后继续跟,到了这里可以看到
一个je跳过登入成功??怎么可能还会让他跳过呢是吧,直接把je给NOP掉,然后F8跟完后软件成功的运行了,但是隐藏了界面,但cpu是有在变的,所以应该是破解成功了吧。。。。
目前不知道是什么验证,总之坚持就是胜利!!!!!
附带了原文件,有大佬有更好的解决方法可以指导一下老弟!!!!
原文件:https://wwat.lanzoul.com/iiR4i1ed30li
密码:9hdj
破解成品:https://wwat.lanzoul.com/icic31ed30kh密码:666
文件大于3m所以上传不了 52论坛!!
来个人帮帮楼主排版一下吧 nteemd4mc3v 发表于 2023-11-10 10:34
想知道破解工具的论坛地址~
https://down.52pojie.cn/Tools/ 支持支持,学习一下 想知道破解工具的论坛地址~ 慢慢的学习一下。 支持一下,破解研究的不错 支持一下,破解研究的不错 太厉害了,支持学习 厉害了,respect