网站 › 『脱壳破解区』 › 关于WinRAR的简单爆破分析

霖韵嫣然 发表于 2016-8-12 16:37

关于WinRAR的简单爆破分析

本帖最后由 霖韵嫣然 于 2016-8-12 17:51 编辑

对WinRAR的爆破分析（英文最新版）
注意：毕竟本人菜鸟， 无法作出算法分析，所以做了一篇爆破分析。各位大神轻喷。
已录制视屏，360云盘链接：http://yunpan.cn/c6p6gARevVHud

1.养成良好的习惯，查壳。

就算明明知道这种正规的公司出品的软件不可能加壳，仍旧如此查。

2.拖入OD愉快的破解
    1.开始
       众所周知，WinRAR在会在他的标题上写上评估版本，可以以此入手。如图，搜索关键字，下硬件访问断点，运行。

    2.尝试
      现在，就可以查看堆栈了。如图所示，第一个返回到WinRAR是一个加载字符串的地方，调用的地方还不少，所以没有多大的可利用性。下一个就是我们要找的地方了。右键，反汇编窗口跟随。

    3.分析
接下来就是对它无聊的分析了，如下反汇编结果。
004D834C|.803D F4565600>cmp byte ptr ds:,0x0;这一句，比较EAX寄存器的AL值和0，相等那么就咔嚓~ 关键跳在后面
004D8353|.A1 404C5100   mov eax,dword ptr ds:
004D8358|.8901          mov dword ptr ds:,eax
004D835A|.A1 444C5100   mov eax,dword ptr ds:
004D835F|.8941 04       mov dword ptr ds:,eax
004D8362|.A1 484C5100   mov eax,dword ptr ds:
004D8367|.8941 08       mov dword ptr ds:,eax
004D836A|.A1 4C4C5100   mov eax,dword ptr ds:
004D836F|.8941 0C       mov dword ptr ds:,eax
004D8372|.A1 504C5100   mov eax,dword ptr ds:
004D8377|.8941 10       mov dword ptr ds:,eax
004D837A|.0F85 D8000000 jnz WinRAR.004D8458 ;就是这里了，如果相等，那么跳，不相等，跳。
004D8380|.8B0D 289A5300 mov ecx,dword ptr ds:
004D8386|.8D41 EC       lea eax,dword ptr ds:
004D8389|.83F8 13       cmp eax,0x13
004D838C|.77 27         ja short WinRAR.004D83B5
004D838E|.B8 28000000   mov eax,0x28
004D8393|.2BC1          sub eax,ecx                              ;WinRAR.<ModuleEntryPoint>
004D8395|.50            push eax
004D8396|.68 6A030000   push 0x36A
004D839B|.E8 A002FBFF   call WinRAR.00488640

对下面的分析没有多么大的作用，只是供给娱乐，在此不再赘述。可以思考，上文中提到的，如果相等，注册失败的字符就出来了，那么这个地址究竟是哪里赋的值？
强大的OD自然有搜索全局变量的伟大功能，我们可以借此找出第一次赋值的地方，从而“一劳永逸”的爆破掉它。
在所有找出来的地址下断点，不放过任何一个可疑的地方！如图所示：

很好，重载，运行！
断下后的种种，在视频中已有详细的分析，在此就一图带过。

这样，我们就可以进入这个CALL分析，找到关键地址分析，爆破如图。

这样，运行几次看看有没有给这个地址再次计算&赋值的时机，如果有则修改，没有则认为爆破成功。
3.完成
这样，如图所示，我们就成功的爆破了WinRAR。



这个软件好像是没有暗桩的，如果有请各位大
最后，祝大家在吾爱大家庭里玩的愉快。


还有一点让我感觉有点愤懑，如图。

希望会好起来的。

霖韵嫣然 发表于 2016-8-12 20:11

榻榻米 发表于 2016-8-12 20:01
我试了下 楼主应该是搜到的第二个evaluation那里下断吧对了广告怎么不顺便去除？
根据我的分析字符串 ...

嗯，去广告吾爱第二&三课讲的很透彻了，所以。。。没有写进去。{:1_924:}

榻榻米 发表于 2016-8-12 20:01

本帖最后由 榻榻米 于 2016-8-12 20:05 编辑

我试了下 楼主应该是搜到的第二个evaluation那里下断吧对了广告怎么不顺便去除？
根据我的分析字符串“8g3#0w1$5r7%2ta”上的断首那里有个长跳就可以实现去广告。

光之守护天使 发表于 2016-8-12 16:46

楼主，我想问问那些代码你是怎样复制到帖子上面的

霖韵嫣然 发表于 2016-8-12 16:48

光之守护天使 发表于 2016-8-12 16:46
楼主，我想问问那些代码你是怎样复制到帖子上面的

插入代码啊

風走過的路 发表于 2016-8-12 16:49

吾爱破解因你而更加精彩！

Hmily 发表于 2016-8-12 17:34

这种简单的爆破是不是会有问题，我记得rar应该还有其他的校验才对，楼主可以再看看。

霖韵嫣然 发表于 2016-8-12 17:50

Hmily 发表于 2016-8-12 17:34
这种简单的爆破是不是会有问题，我记得rar应该还有其他的校验才对，楼主可以再看看。

好的，H大。

爱宝宝的宠妃 发表于 2016-8-12 20:31

学习，涨姿势

pursueky 发表于 2016-8-12 21:08

厉害！谢谢分享，以前拿加密一点办法没有啊。。

查看完整版本: 关于WinRAR的简单爆破分析