脱壳后破自校验:(破文
本帖最后由 冥界3大法王 于 2013-3-15 11:41 编辑超好用的笔记软件,哥我想着爆破它好几天都没睡好觉了
这是一个我做梦都想着要把它PJ的一个,也是唯一有花钱购买欲的唯一一个。
对了 忘说了,便携版去几个文件,就会变成pro版本,就有了输入KEY的地方了。
http://bbs.pediy.com/attachment.php?attachmentid=77100&stc=1&thumb=1&d=1362880913
http://bbs.pediy.com/attachment.php?attachmentid=77100&stc=1&thumb=1&d=1362880913
从网上下载了7 8个版本,这是从宝——岛TW某人博客下载到的唯一字体超大超清晰超养眼的一个版本,用来做笔记或写汇编日志真的不错(字体颜色可直接点选,来的真方便),比myBase(15340K)的内存占用(它才800K)小很多。怎奈顶上的广告太烦人。
http://bbs.pediy.com/attachment.php?attachmentid=77100&stc=1&d=1362880913
网上国内竟然没有一个可注册或PJ 的或达标的版本。
只是棺方的翻译有问题,有些地方汉化的不全。
脱壳之后的文件,可直接查看到不同授权的信息在w32dasm中,在winhex能看到顶上的广告的字样。
下载地址:
http://pan.baidu.com/share/link?shareid=313217&uk=2852213429
==============================================
程序本身哪怕修改下文件名,都会:
报错1
主程序用peid查,upx 加之,upx -d 可脱
---------------------------------
把脱后的文件用od加载,按一下F9,竟然直接出来上面的报错1
无法调试下去,
用winhex搜索以上字串,找不到。此路行不通了,不与之纠缠
换武器:Mdebug (故事转折点:)
帖子未完,继续加工,随编随存盘,版主莫咔嚓~~~
按下F5执行后,一路按着F10,直到出现报错1
给那处设断,重运行,再次到那时 单步进入,进入后再设断,再按F10一路走,走到后再单步进入
,此时往上找call cmp 跳之类的。依次记录16进制代码改之:
最后来到一处叫做 :a62ca8 的call NOP之
其下也有killuseExe之类字样,就是了。
==================================
搜索 不同
notebook.exe.exe: 9,222,440 字节
3.exe: 9,222,440 字节
Offsets: 十六进制
6620A8: E8 90
6620A9: 8B 90
6620AA: 99 90
6620AB: AB 90
6620AC: FF 90
5 不同 被发现。
-------------------------------------
暴了之后出来新的报错2
------------------------------------
现在我们再度换武器:winhex ,ctrl+F,搜索An error occurred in the application,
共有2处:
用这东西
转换一下:
3369C ---》:43429C
87CB56---》:47BF56
顺路在winhex中用替换功能把字串改下,结果第二处:http://bbs.crsky.com/1236983883/Mon_1303/7_215916_277aaf4337d5369.jpg
果然发生变化,也就说明下一步,我们的重点打击对象该放在第二处代码:87CB56---》:47BF56周边地带。
源文件在w32dasm中打开后,ctrl+l运行,设断,往下走,看能不能拦下,
:47BF56上推得
:9F77C0 jz此断点
=================================
009F77C0 /75 4F jnz short 3-5.009F7811 w32dasm中这里设断可拦下
009F77C2 |33D2 xor edx,edx
009F77C4 |8B83 7C030000 mov eax,dword ptr ds:
009F77CA |8B08 mov ecx,dword ptr ds:
009F77CC |FF51 64 call dword ptr ds:
009F77CF |33D2 xor edx,edx
009F77D1 |8B83 84030000 mov eax,dword ptr ds:
009F77D7 |8B08 mov ecx,dword ptr ds:
009F77D9 |FF51 64 call dword ptr ds:
009F77DC |33D2 xor edx,edx
009F77DE |8B83 80030000 mov eax,dword ptr ds:
009F77E4 |8B08 mov ecx,dword ptr ds:
009F77E6 |FF51 64 call dword ptr ds:
009F77E9 |8D55 E4 lea edx,dword ptr ss:
009F77EC |B8 56080000 mov eax,856
009F77F1 |E8 BAE8EEFF call 3-5.008E60B0
009F77F6 |8D45 E4 lea eax,dword ptr ss:
009F77F9 |BA 10799F00 mov edx,3-5.009F7910 ; UNICODE "(PRO-Edition)"
009F77FE |E8 2900A1FF call 3-5.0040782C
009F7803 |8B55 E4 mov edx,dword ptr ss:
009F7806 |8B83 7C030000 mov eax,dword ptr ds:
009F780C |E8 EB0BB0FF call 3-5.004F83FC
009F7811 \8B93 90030000 mov edx,dword ptr ds:
009F7817 8B8A 94040000 mov ecx,dword ptr ds:
009F781D A1 80C8A800 mov eax,dword ptr ds:
009F7822 8B80 F8000000 mov eax,dword ptr ds:
009F7828 0348 10 add ecx,dword ptr ds:按到这里F8走不动了
CPU Disasm
地址 HEX 数据 指令 注释
7C92E47C KiUserExcepti 8B4C24 04 mov ecx, dword ptr ; ntdll.KiUserExceptionDispatcher(pExceptionRecord,pContext
7C92E480 8B1C24 mov ebx, dword ptr
7C92E483 51 push ecx
7C92E484 53 push ebx
7C92E485 E8 84C00100 call 7C94A50E 到这时玩完!
接下来,就是在这段代码中动手术了,水平有限先发到此。研究和折腾中~~如有疑问欢迎共同讨论学习和进步。
沙发 期待完善 学习 留名,等楼主更新!· 留名慢慢看
收藏,关注你~~~~~~~~~~ MARK下 太晚了 就不看了 回头过来再看。 佩服楼主探索精神! 支持你继续更新
页:
[1]
2