网站 › 『脱壳破解区』 › QQXX感V3.7的不脱壳破解教程

ec0li 发表于 2017-3-13 12:42

QQXX感V3.7的不脱壳破解教程

本帖最后由 姐又寡闻了 于 2019-6-6 22:42 编辑

程序还是QQ第六感V3.7我们绕开壳做Load外挂。 脱壳的目的是为了看到字符串，所以省去了文件的修复，因为无需运行 我们用W32asm加载，查看字符串参考。很清晰，很明了，找到"注册成功！"上面有一段代码：:00402832 56                        push esi
:00402833 8BF1                  mov esi, ecx
:00402835 E8B3EFFFFF            call 004017ED
:0040283A 8BC8                  mov ecx, eax
:0040283C E8CBF0FFFF            call 0040190C
:00402841 84C0                  test al, al
:00402843 8BCE                  mov ecx, esi
:00402845 7442                  je 00402889    注册判断跳转
:00402847 53                      push ebx
:00402848 57                      push edi
:00402849 6A40                  push 00000040 修改跳转是不管用的因为前面还有字符要求的检测，比如是否为空或者是否符合格式要求 所以他不是我们的重点，在他前面有一个Call我们进去看看：* Referenced by a CALL at Addresses:
|:0040283C   , :00402E31   , :00405D45   , :00406C88   , :00406E33   
|
:0040190C 51                      push ecx
:0040190D 56                      push esi
:0040190E 8BF1                  mov esi, ecx
:00401910 FF7628                  push
:00401913 8D4604                  lea eax, dword ptr
:00401916 FF7624                  push
:00401919 83EC1C                  sub esp, 0000001C
:0040191C 8BCC                  mov ecx, esp
:0040191E 89642428                mov dword ptr , esp
:00401922 50                      push eax
:00401923 E8C2FFFFFF            call 004018EA
:00401928 8BCE                  mov ecx, esi
:0040192A E859FFFFFF            call 00401888
:0040192F 5E                      pop esi
:00401930 59                      pop ecx
:00401931 C3                      ret 这个Call就是注册的检查，返回的值给一下五个位置 :0040283C   , :00402E31   , :00405D45   , :00406C88   , :00406E33分别被告知是否是已注册程序，所以我们分别分析一下 :00402845 7442                  je 00402889输入注册码是否正确的检测判断:00402E3C 7407                  je 00402E45:00405D52 7410                  je 00405D64:00406C8F 7513                  jne 00406CA4 是否弹出开始对话框:00406E3C 7407                  je 00406E45   标题为已注册还是未注册 只要我们修改这5个跳转就能成功破解 再一个问题就是弹出网页的问题： 我们用LocPlus查找字符串发现了打开的网址253576:http://www.v2233.com/?399我们把它删除然后修改字符串，来比较修改前后两个文件的不同<Offset(file1)>    <file1><file2>    <Offset(file2)>       3DE88h      68h      32h         3DE88h
       3DE89h      74h      35h         3DE89h
       3DE8Ah      74h      34h         3DE8Ah
       3DE8Bh      70h      35h         3DE8Bh
       3DE8Ch      3Ah      30h         3DE8Ch
       3DE8Dh      2Fh      30h         3DE8Dh
       3DE8Eh      2Fh      3Ah         3DE8Eh
       3DE8Fh      77h      3Dh         3DE8Fh
       3DE90h      77h      3Dh         3DE90h
       3DE91h      77h      00h         3DE91h
       3DE92h      2Eh      00h         3DE92h
       3DE93h      76h      00h         3DE93h
       3DE94h      32h      00h         3DE94h
       3DE95h      32h      00h         3DE95h
       3DE96h      33h      00h         3DE96h
       3DE97h      33h      00h         3DE97h
       3DE98h      2Eh      00h         3DE98h
       3DE99h      63h      00h         3DE99h
       3DE9Ah      6Fh      00h         3DE9Ah
       3DE9Bh      6Dh      00h         3DE9Bh
       3DE9Ch      2Fh      00h         3DE9Ch
       3DE9Dh      3Fh      00h         3DE9Dh
       3DE9Eh      33h      00h         3DE9Eh
       3DE9Fh      39h      00h         3DE9Fh
       3DEA0h      39h      00h         3DEA0h 接下来是做内存补丁 最后如果我们想用自己的名字注册那就加入一个注册表补丁如下 REGEDIT4
"ID"="ec0li"
这样就完成了。。

fgd888 发表于 2017-3-18 18:16

让你吓了一跳,还以为这个软件更新了呢,好多年没听到这个软件了.当年没少网吧没少骚扰人啊.

许哥哥 发表于 2017-3-25 23:31

楼主辛苦

xiaohong 发表于 2017-4-9 10:45

楼主辛苦

xyz1125 发表于 2017-4-9 11:54

楼主辛苦

bluesjim 发表于 2017-4-24 11:43

好多年以前使用过，现在应该用不了了吧。

查看完整版本: QQXX感V3.7的不脱壳破解教程