网站 › 『脱壳破解区』 › xxxx破解——新手向

mihacker 发表于 2017-4-17 23:14

xxxx破解——新手向

本帖最后由 姐又寡闻了 于 2019-6-6 22:40 编辑

>注册52论坛很久了，都是看着各位大神的的帖子学着过来的，感谢52提供的学习平台

>第一次发帖，看了下版规，如果违规的地方请管理提出，或者移动到相应的版块，谢谢管理


>前话完了之后我们来进入这个帖子的主题，从一个新手的角度来进行这款辅助的破解，其中涉及到的工具，大家没有的话可以到52的爱盘进行下载。这个帖子没什么技术，大牛就不用看了，会浪费你宝贵的时间

下面开始

static/image/hrline/line2.pnghttp://www.52pojie.cn/static/image/hrline/line2.pnghttp://www.52pojie.cn/static/image/hrline/line2.pnghttp://www.52pojie.cn/static/image/hrline/line2.pnghttp://www.52pojie.cn/static/image/hrline/line2.png

0x00 查壳
这里使用的查壳工具是]，论坛可以搜索下载或者到爱盘。查壳结果如下所示：

0x01 脱壳
如上结果所示，该程序加了NsPack3.x-4.1版本的壳，但是不管版本是多少，这里我们一步ESP定律即可脱去
    1）OD载入主程序，停在下图所示的位置，这是NsPack壳的入口
                     
    2）F8单步到

这里发现ESP发生变化变红
    3）对这ESP右键，选择[数据窗口中跟随]

    4）我们来到数据窗口，在第一条地址后面右键，下硬件访问断点

    5）下面让程序运行起来，程序会断在如下所示的位置

    6）我们F8单步来到第二个地址，这里有个jmp，注意jmp后面所跟的地址，可以知道这里有一个很大的跳转，我们F8跟过去
                     
    7）这里我们来到了程序真正的入口点了，下面会使用两款工具，一个[ImportREC]，另一个[LordPE]。这里先打开[LordPE]，选择我们的辅助进程
                  
在辅助程序上右键，选择[修正镜像大小]，再次右键，点击[完整转存]，然后我们保存dump.exe文件
    8）然后在使用另一个工具[ImportREC]，修改程序OEP。这里的操作我们必须使用上面的到一个程序的入口地址，   上面第6步的图，我们记下地址0046EF2B，用这个地址减去00400000，得到0006EF2B，这就是程序入口的基地址了。然后[ImportREC进行如下操作   
      
在OEP框里输入我们的基地址，点击[自动查找 IAT]，再点击[获取输入表]，后面点击[修复转存文件]

选择我们之前的dumo.exe文件，保存即可。
    9）下面我们在查壳，这里显示未知的壳类型。这里，用易语言写的程序就这样的吧，我们无视。直接点开，成功运行。至此，脱壳成功

0x02 破解
    1）同样，OD载入我们脱壳后的dump_.exe程序。在OD的反汇编窗口右键，选择[中文搜索引擎]->[智能搜索]，如下
                  
等一会，搜索完毕。
    2）我们选择第一个eno，
               
回车进去，在上面找到一个大跳转。
               
3）我们把这里的jnz修改为jmp让他跳过去
00406285   /EB 7A         jmp short dumped_.0040630100406287   |90            nop
00406288   |90            nop
00406289   |90            nop
0040628A   |90            nop


    4）然后按CTRL+B，搜索FF 25
               
    5）然后会弹出一系列的jmp，这里我们选择最后一个回车跟进去，直接在头retn
               

               

00427CF0    C3            retn

    6)我们再来到字符串结构界面，找到 “普通用户登录成功”，通用回车进入，我们来到下面的结果处
            

    7）在上面的第一个CALL就是扣点CALL，有兴趣的朋友可以回车自己看看，这里我们把注意力放在CALL下面的哪行汇编代码上。在CALL上下断点看的时候eax的值为-1，如果我们把这里eax的值改为1即可成为黄金会员登录。我们需要在这行代码上jmp到一块空白的地址，空白地址上写mov eax,0x01 ,在jmp会后面的一条地址，即可完成破解


0x03 补丁
    打补丁的操作是傻瓜式，在论坛下载相应的补丁软件即可自己实现自己的破解补丁


0x04 后记
    其实认真写一篇帖子还是很费时的，截图放图排版就耗时很久，后面自己看了帖子也要好好的回回。今天就介绍到这里，后面有什么能分享给大家的在分享




    谢谢52，谢谢大家的观看
            

pjk 发表于 2017-4-18 06:57

学习了 谢谢楼

mihacker 发表于 2017-4-18 16:48

啦啦啦123123 发表于 2017-4-18 16:34
老铁，我就碰到过检测到OD就给我关机，请问放52虚拟机里还能继续破解吗？还是说直接把我虚拟机给关了

有几种方法
第一、你下载一个禁止关机之类的小软件在虚拟机里面

第二、使用xuetr 暂停运行，在OD附加试试

第三、换别的强OD试试

我就只想到这几种方法，希望帮到你。

mihacker 发表于 2017-4-17 23:17

   好了，睡觉了。谢谢大家观看

NMD977 发表于 2017-4-17 23:25

好详细的帖子，支持一下

夜袭和尚庙 发表于 2017-4-17 23:28

看你的帖子勉强去更新一个软件结果发现TM 作者就写了个空壳 阿西吧 浑身难受

badboyjustin 发表于 2017-4-17 23:40

{:1_937:}没成品 艾玛

影子爱人 发表于 2017-4-18 00:14

感谢大神分享

xingxingzzz 发表于 2017-4-18 00:17

学习了 谢谢楼主

千里千寻 发表于 2017-4-18 06:56

学习了 谢谢楼

画画田画画 发表于 2017-4-18 07:06

没破解好的嘛？

查看完整版本: xxxx破解——新手向