【甲鱼解密】0x00VisualSite Designer破解+去广告
最近在学习小甲鱼解密系列调试篇,发一发学习记录。今天我们来破解一个叫VisualSite Designer的程序。
首先我们先打开这个程序:
http://119.29.175.38/wp-content/uploads/2017/03/%E8%BD%AF%E4%BB%B6.jpg
发现NAG底部有数字显示,而且每打开一次都会减少单位1,看来该软件规定了使用次数。
我们用OD打开:
http://119.29.175.38/wp-content/uploads/2017/03/1.jpg
按Ctrl+F8运行直到该软件打开,其中在系统领空设置硬件断点:
http://119.29.175.38/wp-content/uploads/2017/03/%E7%A1%AC%E4%BB%B6%E6%96%AD%E7%82%B9.jpg
我可以在00489912段找到一个程序调用的函数:
http://119.29.175.38/wp-content/uploads/2017/03/NAG-return-1.jpg
该MFC函数的用途大概是执行计数器减一(使用次数减一),然后将0x01数值移入EAX寄存器。
这里我们修改命令为mov eax,1:
http://119.29.175.38/wp-content/uploads/2017/03/NAG%E6%B1%87%E7%BC%96.jpg
这样程序就可以直接执行啦。然后我们将程序保存起来并载入新修改后的程序。这时程序直接跳过NAG进入。此时程序使用一千次一万次都没有问题。可是该程序还有一个小广告看着不爽,尽管正常注册后该广告还在,可就是想要去广告。怎么办呢?
首先我们先运行程序,再关闭程序,然后跳出广告页面:
http://119.29.175.38/wp-content/uploads/2017/03/%E5%B9%BF%E5%91%8A.jpg
此时按下暂停。程序停在了ntdll操作系统的领空。我们按下K查看堆栈,看看那些函数被调用了:
http://119.29.175.38/wp-content/uploads/2017/03/K.jpg
因为004XXXXX一般是我们程序的领空,所以我们双击进入。在00480C24处下断点,再重新载入,走到该位置。此时如果按下F8,广告又弹出来了,说明要把这个给NOP掉:
http://119.29.175.38/wp-content/uploads/2017/03/NOP.jpg
保存。然后我们把程序关掉,可以发现广告已经被去掉了。 乔帮主 发表于 2017-3-20 16:54
刚刚才看完这个,但是我照他的方法用起亚找是什么引用了这个地址缺找不到。。不过小甲鱼教的很详细
确实找到好老师了 Hmily 发表于 2017-3-21 17:13
图片上传本地吧,不然什么时候你腾讯云服务器挂了就无法显示了。
谢谢指点:lol 大神厉害,小白看看、学习 刚刚才看完这个,但是我照他的方法用起亚找是什么引用了这个地址缺找不到。。不过小甲鱼教的很详细 欢迎继续发布更多作品。 非常谢谢楼主的无私分享 谢谢分享!!! 学习,受用!很好的教程!! 谢谢分享! 新手教程 鼓励一下 受教,谢谢分享!!