一款录像软件的爆破分析
本帖最后由 苏紫方璇 于 2013-6-20 19:41 编辑【软件名称】: KKcapture的vip登录和去除水印
【下载地址】: http://www.kkcapture.com
【加壳方式】: 无
【使用工具】: OD,PEID,exescope
【操作平台】: XP SP3
【作者声明】: 只是出于对破解感兴趣,没有其他目的。以下分析破解仅用于交流,请支持正版软件。
首先使用PEID查壳,没有加壳,vc编写的软件。
打开软件, 随便输入账号和密码 ,点击登录然后提示
有错误框,挺好的,按照一般的思路,下面查找字符串
找到这个地方
大概翻了下这段程序,主要是网络登录,以及登录后获取账号的信息。在这段程序的头部下断。
然后重新登录,他回断下,F8单步步过,直到这个地方
你会发现这个函数,和下面的几个组合起来就是网络登录的步骤,我的思路是爆破,所以就不打算仔细的看登录的过程了。
往下翻代码,找到接收信息的API,因为从这里开始就要开始进行验证了。
60001B27|. /0F85 35030000 jnz KKcaptur.60001E62
他跳转到提示网络异常的地方
这并不是我们要找的
再往下F8找到下一个条件跳转
按回车键看下他跳转的位置发现离提示密码错误地方很近,在这个地方下断,重新启动软件,输入正确的账号和密码,断下后发现这个地方是不跳转的。所以这个地方要nop掉
之后再往下看,下面有一个循环,循环之后又有一个条件跳转jnz
一样,按回车发现跳转到提示密码错误的地方,不要犹豫nop
再往下看,下面紧接着还有一个条件跳转,和刚才nop那个跳转指向的地址是一样的,还是nop。
我们继续
之后看到一个jnz,他跳转到一个循环之中,循环之后,有一个无条件跳转指令jmp,几连跳之后 ,跳过了网络错误的提示,往下看下有一个循环,再往下就会发现提示vip的地方,在这里有两个跳转 第一个跳转到下面普通账号上,要nop掉,第二个跳转到永久vip。
好了 该改的都改完了,F9运行
然后出现提示,程序退出
继续找到字符串 把上面那个跳转改成jmp 无条件让他跳过更新提示
之后就可以了。
但是录制视频后发现 还是有水印,使用PE工具发现在dll文件中发现水印的图片资源,
这里,对LoadBitmapA下断,断下后回溯,到这里是调用LoadBitmap的地方,
如果把调用这个Api的这段程序nop掉就能让他没有水印了,于是在回溯一层。把这个call给nop就可以了。
但是这样做会把这款软件的添加水印功能给废掉。这种方法只适用于内存修改,因为这款软件各个部件之间会进行md5校验,如果直接改文件的话,会出现损坏的提示。
由于本人小菜一个,以上有什么不对的地方还请各位大神指出。
分析很详细,谢谢! 你就是一个酱油大王。 真的很不错的教程! 非常好的新手爆破分析,谢谢 十分感谢苏大!终于知道上次破解这个软件为什么水印还是去不掉的问题了!!嗯,今晚研究下
好的,谢谢,学习了! 很不错的教程,学习了 菜鸟膜拜一下大神