屏幕截图软件FSCapture脱壳破解(多种方法)
本帖最后由 Simplecracker 于 2015-6-19 09:22 编辑前天,工作需要,需要把一个网页整页都截下来成一个图片,QQ的截图固然不错,可以它最多只能截整个屏幕的,像网页这种带滚动条的,几页的就只能分着截图然后自己用PS合成了,觉得比较麻烦,于是上网搜了一下发现了一个十分不错的工具FSCapture。立刻下载下来发现需要注册,正版的竟然要$19.95!!!!我滴娘亲!!!那可是120多RMB啊!!!不注册的话就有30天的试用期。好吧,我只能对不起作者了。个人用途,非商业,偶尔做做坏事,没什么问题。直接进入主题。
发帖之前搜索了下论坛,有破解后的版本,倒是没有破文,所以就献丑了,本软件比较容易,同是新手的朋友可以来练下手,高手就不用看了。
首先,PEID查壳:什么都没有,
可以看区段是UPX0,应该是UPX的壳。 OD载入:
奇葩的入口,前面有求助大家,在我电脑上UPX和ASpack会出现这种入口比较奇葩的现象。比较奇怪,小白如我,当然不知道什么情况,好在后续的调试并没有很大影响。
入口近CALL,F7后F8
到了这里,
可以看到pushad,但不是UPX的入口但是我们仍然用ESP定律,到了:
这里在RETN后F8,来到:
这里才是UPX的真正入口。
UPX的加壳软件在我电脑上就是这样的,程序入口不一样,代码也就自然不一样了。具体原因希望有大神指导下。
后面的就是继续ESP定律:
可以看到Borland Delphi 7的入口。我还是比较喜欢Delphi这种语言的。后面就是LordPE
然后在IR修复:
。先试运行:
可以看到完全跑起来了,并且带有重启验证。先注册下:
错误提示,那么就可搜索字符串或者F12暂停了。就搜索字符串吧,比较容易点:搜索字符串并查找:Invalid user or registeration code
哈哈哈!!!上面是congratulation!!!开森!!
既有注册错误,又有注册成功的提示,而且看注册成功的语句,好多个版本
有个人的,企业的,教育的等等,还不错嘛!记下006370AF处,上面肯定有条件跳转转到这里。然后向上翻代码。
看到那个user name cannot be empty.了吗?上面肯定是获取注册名然后判断是否为空了,那下面就是开始验证喽!
F2在上面的JNZ转向的位置下好断点:
。运行,注册。就段下来了:
这两个跳转都没有实现,不用管他。
上面我们看到006370AF处是错误提示,看到这么多的条件跳向006370AF,看起老好多次判断呢。继续调试:
好啦!F9跑起!!!
注册成功!!!
上面我们看到好多个注册成功,注册成家庭啦,企业啦,教育版啦,大家可以根据上面的条件跳自己玩一下。
接下来第二种方法破解之(夹杂第三种)。
前面提到,这个软件是有重启认证的,那么我们在他认证的时候跳过,那不就OK啦!另外这个软件还是比较傻的,前面调试成功了,后面即使你不保存那么再重新启动的话也不会有这个提示窗口,也就是说有个地方保存了上面的注册信息。(这也是第四种方法的有来)。为了掩饰,只好把他卸了重新安装,脱壳的那份没有保存爆破的就留着了。
看启动窗口:
这时候仍然去查找字符串去:
搜索 Trial Version:
哈哈!!上面的信息全都有,另外我是前天第一次安装他的,所以我的上面是28。那就双击进去吧!
就是酱紫的。注意这个地址00650712。另外向下翻一下看这里:
1E不就30么。那么你把他改成FFFFFFFF,那不就是随便用啦!!!这是另外一种方式。继续上面的那个。
可以看到上面00650712的地方是试用版的那个提示窗口,那么上面就有条件跳跳过喽。向上翻:
,管他三七二十一!!暴力到底!!全部改成JMP!!!!
启动,直接没有了注册提示。嘿嘿。。我前天改的时候是改jmp就好了,现在发帖子的时候发现出现出错的情况了不知道什么情况,大家可以试试。
上面三种方法破解之了,下面第四种方法。
上面分析到这软件是有文件保存配置信息或者注册信息的。开始我找的注册表,后来没发现有价值的东西,那么就试试
pb CreateFileA吧。发现程序在C:\Users\Administrator\AppData\Local\FastStone\FSC下有配置文件,赶紧打开看看,
好像没什么有营养的。这时,想起来打开那么注册之后的瞧瞧。
,嘿嘿!!看到了没??注册信息,那么直接把这个注册后的配置文件放到这个目录下呢?
来试试看:
哈哈!!直接成功,脱壳什么的都省了。大家可以拿去试试,有什么心得可以相互交流学习下!
另外,公司这网速!哎~~~无力吐槽了,都发三遍了才发上来。
Hmily 发表于 2015-6-19 16:29
这个不应该,是不是你感染病毒了,入口都被病毒感染了?可以提供一个文件放放盘,给你看看。
http://yunpan.cn/cQSdZnrtEvegA访问密码 bdbf。是一个加壳的UPX的记事本,黑鹰教程里面的。这个源程序在我刚开始学习脱壳的时候还是正常的,不知道什么时候起入口点就变了,入口代码自然也就变了。请你帮忙看下。还有我电脑上不知什么时候几乎所有文件夹都被改成了只读,而且我明明是管理员权限,却不能删除。。。想格式化,可是好容易下载的那么教程又舍不得。。。 Hmily 发表于 2015-6-18 16:53
教程写的很详细,挺不错的,爆破过程看起来还可以完美一下,尽量少改跳转,看看是什么标志位导致跳转的,把 ...
哇!!老大来啦!!!改的确实有点多,不过这个软件在验证的时候好像对注册名很感兴趣,检测好多遍。然后有4个CALL连续验证,以我现在的水平也就见跳就NOP了。不过话说注册码在我整个过程中都没看到。。。连假码都没看到。水平亟待提高。后续看看能不能追出注册码或者分析出算法了。谢谢鼓励!!{:1_893:}{:1_893:} 啥也不说了,难得有这么详细的分析,加分鼓励 感谢楼主分享这么实用的软件 Godfather.Cr 发表于 2015-6-18 11:43
啥也不说了,难得有这么详细的分析,加分鼓励
实在是惭愧,爆破虽然给弄了,但是从始至终都没看到注册码。。。。。连假码都没看到。。。不过看注册那块,那么多的字符串用peid查了算法,然后我就开开森森的放弃想看看注册码的想法了。 Simplecracker 发表于 2015-6-18 11:49
实在是惭愧,爆破虽然给弄了,但是从始至终都没看到注册码。。。。。连假码都没看到。。。不过看注册那块 ...
有时候量力而行,适当的放弃是真正聪明人的选择。。
等哪天有实力了,再去研究不迟{:301_987:} 有没有汉化的 1067567482 发表于 2015-6-18 11:57
有没有汉化的
这个还没有,试着该他的窗体了,但是提示错误,就没有弄这个。 虽然不懂,但技术贴必须支持~ 謝謝分享 截了本贴一试,左边那截的有问题~