某某加速器去自校验+去时间限制+一些疑问
【文章标题】: 某某加速器去自校验+去时间限制+一些疑问【文章作者】: 疯子韩
【软件名称】: 某某加速器
【软件大小】: 574KB
【下载地址】: 自己搜索下载
【保护方式】: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Marku
【使用工具】: Peid,OD
【操作平台】: windows xp
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
拿到软件,先查下壳呗。一查,UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo,哈哈,这个简单啊,用工具手动
我正好都会,为了保险,我手动了(会的跳过啊)。
00495100 > $60 pushad ;停这里了
00495101 .BE 00204900 mov esi,wjbsbs.00492000
00495106 .8DBE 00F0F6FF lea edi,dword ptr ds:
0049510C .57 push edi
0049510D .83CD FF or ebp,FFFFFFFF
00495110 .EB 10 jmp short wjbsbs.00495122
直接往下拉
0049523B .57 push edi
0049523C .48 dec eax
0049523D .F2:AE repne scas byte ptr es:
0049523F .55 push ebp
00495240 .FF96 70101200 call dword ptr ds:
00495246 .09C0 or eax,eax
00495248 .74 07 je short wjbsbs.00495251
0049524A .8903 mov dword ptr ds:,eax
0049524C .83C3 04 add ebx,4
0049524F .^ EB D8 jmp short wjbsbs.00495229
00495251 >FF96 74101200 call dword ptr ds:
00495257 >61 popad
00495258 .- E9 13F7F6FF jmp wjbsbs.00404970 ;跳往OEP,F4
0049525D 00 db 00
0049525E 00 db 00
0049525F 00 db 00
00495260 00 db 00
00495261 00 db 00
00495262 00 db 00
在00495258处F4以后,再单步一下就到OEP了
00404970 55 push ebp ; OEP
00404971 8BEC mov ebp,esp
00404973 6A FF push -1
00404975 68 605A4000 push wjbsbs.00405A60
0040497A 68 F64A4000 push wjbsbs.00404AF6 ; jmp 到 msvcrt._except_handler3
0040497F 64:A1 00000000mov eax,dword ptr fs:
00404985 50 push eax
00404986 64:8925 0000000>mov dword ptr fs:,esp
0040498D 83EC 68 sub esp,68
00404990 53 push ebx
00404991 56 push esi
00404992 57 push edi
00404993 8965 E8 mov dword ptr ss:,esp
00404996 33DB xor ebx,ebx
00404998 895D FC mov dword ptr ss:,ebx
0040499B 6A 02 push 2
然后我们就可以脱壳了,呵呵。打开,糟糕,他说“文件已损坏,可能感染病毒,提示不要使用来历不明的文件或者小。。。”
难道是壳没脱好??可是如果没脱好应该提示是来自windows的啊,怎么是来自软件,后面还有广告呢,让去他官方网站上下载。
应该是软件的自校验吧,OD载入看下关键字符,未果。在同目录下还有两个dll文件,查下发现都没加壳,那都用OD载入看
关键字符。发现了kinguard.dll这个文件里面有提示信息,而且不止一处。
10001E36|.8D8D 08FEFFFF lea ecx,
10001E3C|.E8 9F1D0000 call <jmp.&MFC42.#800>
10001E41|.83BD 0CFEFFFF>cmp ,0
10001E48|.74 16 je short kinguard.10001E60
10001E4A|.6A 00 push 0
10001E4C|.6A 00 push 0
10001E4E|.68 34610010 push kinguard.10006134 ;文件已损坏,可能感染病毒,提示不要使用来历不明的文件或者小网站下载的文件均没有保障\r\n请到官方网站http://www.wylbw.cn重新下载文件!!!
10001E53|.E8 901E0000 call <jmp.&MFC42.#1200>
10001E58|.6A 01 push 1 ; /ExitCode = 1
10001E5A|.FF15 1C500010 call dword ptr ds:[<&KERNEL32.ExitProces>; \ExitProcess
10001E60|>EB 16 jmp short kinguard.10001E78
10001E62|>6A 00 push 0
10001E64|.6A 00 push 0
10001E66|.68 B8610010 push kinguard.100061B8 ;文件已损坏,可能感染病毒,提示不要使用来历不明的文件或者小网站下载的文件均没有保障\r\n请到官方网站http://www.wylbw.cn重新下载文件!
10001E6B|.E8 781E0000 call <jmp.&MFC42.#1200>
10001E70|.6A 01 push 1 ; /ExitCode = 1
10001E72|.FF15 1C500010 call dword ptr ds:[<&KERNEL32.ExitProces>; \ExitProcess
10001E78|>EB 16 jmp short kinguard.10001E90
10001E7A|>6A 00 push 0
10001E7C|.6A 00 push 0
10001E7E|.68 3C620010 push kinguard.1000623C ;文件已损坏,可能感染病毒,提示不要使用来历不明的文件或者小网站下载的文件均没有保障\r\n请到官方网站http://www.wylbw.cn重新下载文件!
10001E83|.E8 601E0000 call <jmp.&MFC42.#1200>
10001E88|.6A 01 push 1 ; /ExitCode = 1
10001E8A|.FF15 1C500010 call dword ptr ds:[<&KERNEL32.ExitProces>; \ExitProcess
10001E90|>8D4D FC lea ecx,
再向上找下,发现有关键跳转,
10001D5A|.8D8D 20FEFFFF lea ecx,
10001D60|.E8 7B1E0000 call <jmp.&MFC42.#800>
10001D65|.8B8D 24FEFFFF mov ecx,
10001D6B|.81E1 FF000000 and ecx,0FF
10001D71|.85C9 test ecx,ecx
10001D73|.0F84 01010000 je kinguard.10001E7A 关键跳转
10001D79|.B9 10670010 mov ecx,kinguard.10006710
10001D7E|.E8 7D0C0000 call kinguard.10002A00
10001D83|.50 push eax
10001D84|.6A 09 push 9
10001D86|.8D95 10FEFFFF lea edx,
10001D8C|.52 push edx
10001D8D|.A1 40670010 mov eax,dword ptr ds:
把je直接jmp了。保存。
现在来看下脱壳的文件,OK,可以运行。打开要弹出个未注册提醒,然后点是,会弹出他的官方主页,很讨厌。
关键题目那里总显示“剩余XX秒体验”,而且时间在不停掉。。。
OD载入,查看ASCII,找到了“剩余%d秒体验”,双击进入代码
004034CA 57 push edi
004034CB 85C0 test eax,eax
004034CD 8BF1 mov esi,ecx
004034CF 0F85 C1000000 jnz Unpack_.00403596 ; 这里JMP
004034D5 8B15 20704000 mov edx,dword ptr ds:
004034DB 8D4C24 18 lea ecx,dword ptr ss:
004034DF 4A dec edx
004034E0 8915 20704000 mov dword ptr ds:,edx
004034E6 E8 35120000 call <jmp.&mfc42.#540>
004034EB A1 20704000 mov eax,dword ptr ds:
004034F0 8D4C24 18 lea ecx,dword ptr ss:
004034F4 50 push eax
004034F5 68 F8734000 push Unpack_.004073F8 ; 剩余%d秒体验
004034FA 51 push ecx
004034FB C74424 1C 00000>mov dword ptr ss:,0
改好以后,还得把弹出网页干掉啊,还是在ASCII里面找
00401877 E8 06300000 call <jmp.&mfc42.#4224>
0040187C 83F8 06 cmp eax,6
0040187F 6A 01 push 1
00401881 75 15 jnz short Unpack_.00401898
00401883 6A 00 push 0
00401885 6A 00 push 0
00401887 68 8C714000 push Unpack_.0040718C ; http://www.wylbw.cn/?wjbsbs
0040188C 6A 00 push 0
0040188E 6A 00 push 0
00401890 FF15 FC325200 call dword ptr ds:[<&shell32.ShellExecut>; shell32.ShellExecuteA
在命令输入: dd 40718c,回车,直接把网址刷掉,然后把修改的保存,打开,发现时间限制去掉了,网址也去掉了,但是
打开的窗口搞不定啊。。。这个我搞了一阵子了,还是没搞定,呵呵,基础不行,嘻嘻
--------------------------------------------------------------------------------
【经验总结】
没啥经验总结的,都是菜鸟手段,呵呵
--------------------------------------------------------------------------------
【版权声明】: 本文原创于疯子韩, 转载请注明作者并保持文章的完整, 谢谢!
2010年04月12日 21:01:16 呵呵,学习了,楼主辛苦了 00401881 75 15 jnz short Unpack_.00401898
00401883 6A 00 push 0
00401885 6A 00 push 0
00401887 68 8C714000 push Unpack_.0040718C ; http://www.wylbw.cn/?wjbsbs
0040188C 6A 00 push 0
0040188E 6A 00 push 0
00401890 FF15 FC325200 call dword ptr ds:[<&shell32.ShellExecut>; shell32.ShellExecuteA
弹窗的地方有没有看看这里?? 00401881 哥们。能给点破解迅游加速器的思路吗 很强大的人。。。 呵呵,学习了,楼主辛苦了 看看。。。。。。。。。。。。。。。。 看看学习下 :lol
一般碰着问题我都顺手Hook 某函数 辛苦了
。。。。。。