网站 › 『脱壳破解区』 › 给Teleport VLX这个神器做4台手术

冥界3大法王 发表于 2017-11-13 12:01

给Teleport VLX这个神器做4台手术

本帖最后由 冥界3大法王 于 2017-11-13 13:19 编辑

原创：作者冥界三大法王
    文章仅在吾爱破解 和飘云阁论坛 发布 Teleport Pro这个神器可能大家并不陌生，1999年的电脑爱好者增刊上就有明确的使用方法,网站抓取神器(俗称离线下载工具)，后来被天国狗们瞎J胡改名字
{:301_1008:} 烤，严重的畜生行为 ！ 自己做不出软件用人家的还好，非要把软件名字牒权等信息统统改成国人制作的,没有人性，丧失良心被狗吃了！
费话说的不少了，我们还是来说说其他的内容吧。

这家公司当年只有一个产品 ，最近几年楼主没怎么使用就不太清楚 了
但是前几天需要采集ahk论坛的时候 下载了一个新版本发现这个东西又更新了，而且这些更新里面有四款产品
他们分别是图中所示的这几个版本，如果大家比较细心，就会看到底下的一行英文字儿，这一行英文字的意思就是说现在已经支持正则表达式，
大家看到了没有？上面的售价是Price:$1,995.00
大家 知道支持正则意味着什么？
如果大家会正则就知道了，这样就能按更多的条件过滤 取到更多想要的东西 ，省了接下来的整理工作了。

而最贵的就是上面的这款，将近5000美元，{:301_1008:}
我们今天要搞的这款就是 Teleport VLX
朋友说这个软件有多处暗桩 ，这个软件以前是折腾汉化过的，最有特色的就是启动时的检测和自校验
哪怕你汉化时修改了一个字节或 是文件名 被修改 也会
下边的两个提示


另外 一个提示 我就不截图了，就是文件被修改 提示你感染病毒 ~~
另外 ，这个软件还有 以下的两个 退出的暗桩
当年单击工程向导，创建了文件后，按理说点击运行，就可以抓取网页了 ，这时候程序却退出了
还有一处就是载入以前的工程，按理说点击续传 就可以接着工作了。
但是 ！

这里却没有动静 ！
接下来，我们开始 动手，把这些问题 一个 一个的解决掉


https://static.52pojie.cn/static/image/hrline/2.gif
1. 去掉文件名 不能 为 其他 或是 检测到病毒


我们先汉化一点点 ，一个文件菜单项现在在运行的话，就会提示你程序已经感染病毒！
现在使用暂停 Alt+K 快速的定位，到下面的这个地方，


或者你使用字中搜索   也是可以的 ，更快一些

搜索病毒字样也能定位
004192D0/$55            push    ebp                              ;这里段首
004192D1|.8BEC          mov   ebp,esp
004192D3|.6A FF         push    -0x1
004192D5|.68 B9B34A00   push    vlx.004AB3B9                     ;SE 处理程序安装
004192DA|.64:A1 0000000>mov   eax,dword ptr fs:
004192E0|.50            push    eax
004192E1|.64:8925 00000>mov   dword ptr fs:,esp
004192E8|.83EC 18       sub   esp,0x18
004192EB|.56            push    esi
004192EC|.6A 00         push    0x0
004192EE|.6A 20         push    0x20
004192F0|.6A 00         push    0x0
004192F2|.8D4D E0       lea   ecx,
004192F5|.E8 569CFEFF   call    vlx.00402F50
004192FA|.C745 FC 00000>mov   ,0x0
00419301|.A1 D0294E00   mov   eax,dword ptr ds:      ;C:\Users\wcc\Desktop\vlx.exe
00419306|.50            push    eax
00419307|.8D4D E0       lea   ecx,
0041930A|.E8 F1000000   call    vlx.00419400
0041930F|.837D 08 00    cmp   ,0x0
00419313|.74 35         je      short vlx.0041934A
00419315|.8B4D 08       mov   ecx,
00419318|.51            push    ecx
00419319|.8B15 D0294E00 mov   edx,dword ptr ds:      ;C:\Users\wcc\Desktop\vlx.exe
0041931F|.52            push    edx
00419320|.E8 1FE7FFFF   call    vlx.00417A44
00419325|.83C4 04       add   esp,0x4
00419328|.50            push    eax
00419329|.E8 22290500   call    vlx.0046BC50
0041932E|.83C4 08       add   esp,0x8
00419331|.85C0          test    eax,eax
00419333|.74 15         je      short vlx.0041934A               ;这里也可以跳走
00419335|.6A 00         push    0x0
00419337|.6A 00         push    0x0
00419339|.68 E40B4D00   push    vlx.004D0BE4                     ;This program's name has been changed; please rename the program to its original name.
0041933E|.E8 59480700   call    vlx.0048DB9C
00419343|.6A 02         push    0x2
00419345|.E8 248E0400   call    vlx.0046216E
0041934A|>A1 D00B4D00   mov   eax,dword ptr ds:
0041934F|.8B48 04       mov   ecx,dword ptr ds:
00419352|.894D F0       mov   ,ecx
00419355|.8D4D E0       lea   ecx,
00419358|.E8 1396FEFF   call    vlx.00402970
0041935D|.3945 F0       cmp   ,eax
00419360|.73 41         jnb   short vlx.004193A3
00419362|.6A FF         push    -0x1
00419364|.8B55 F0       mov   edx,
00419367|.52            push    edx
00419368|.8B45 E0       mov   eax,
0041936B|.50            push    eax
0041936C|.E8 4FC1FEFF   call    vlx.004054C0
00419371|.83C4 0C       add   esp,0xC
00419374|.8BF0          mov   esi,eax
00419376|.6A FF         push    -0x1
00419378|.8D4D E0       lea   ecx,
0041937B|.E8 F095FEFF   call    vlx.00402970
00419380|.8B4D F0       mov   ecx,
00419383|.83C1 08       add   ecx,0x8
00419386|.2BC1          sub   eax,ecx
00419388|.50            push    eax
00419389|.8B55 F0       mov   edx,
0041938C|.8B45 E0       mov   eax,
0041938F|.8D4C10 08   lea   ecx,dword ptr ds:
00419393|.51            push    ecx
00419394|.E8 27C1FEFF   call    vlx.004054C0
00419399|.83C4 0C       add   esp,0xC
0041939C|.03F0          add   esi,eax
0041939E|.8975 DC       mov   ,esi
004193A1|.EB 07         jmp   short vlx.004193AA
004193A3|>C745 DC 00000>mov   ,0x0
004193AA|>8B55 DC       mov   edx,
004193AD|.8915 F8F24D00 mov   dword ptr ds:,edx
004193B3|.A1 D00B4D00   mov   eax,dword ptr ds:
004193B8|.8B0D F8F24D00 mov   ecx,dword ptr ds:
004193BE|.3B08          cmp   ecx,dword ptr ds:
004193C0|.74 15         je      short vlx.004193D7               ;明显这里可以跳走
004193C2|.6A 00         push    0x0
004193C4|.6A 00         push    0x0
004193C6|.68 3C0C4D00   push    vlx.004D0C3C                     ;This program has been altered, possibly by a virus; program execution will stop now.





所以改法有2种
1.端首我们ret
2.或是 下面的两处 JMP掉
这样文件名 不能修改 和病毒提示问题就解决了 。
=========================================================================
下面来搞目前发现的几出退出暗桩

接下来创建工程向导，来诱发这个暗桩

按理说该下下面这个api


断下来后 来到下面的这个地方

很 明显   执行过后 就会闪退！
所以 直接 ret 就好
这样改完之后
又会发现有些不彻底
再向上几个又发现一个调用点
能来到启动文件名检测的地方 ，所以我们修改那个地方更好。
本地调用来自 00419345, 004193D2, 00433706, 00439E9A, 0043CDD6, 0043E101, 0043ED62, 00440F39, 00441918, 0044270F, 00442C01
这样改之后又发现一个负作用

我们再来分析 一下

大家 看到最后一个地方的F2cc断点没有？ 里边F7 ret 就彻底治愈了 ~~
这样这个程序就被我们基本上玩死了。

hack528 发表于 2017-11-13 12:13

疯子哥 发表于 2017-11-13 12:15

这个软件是用于什么的？

且情且珍惜 发表于 2017-11-13 12:28

{:1_918:}前排卖瓜子！！！！！

总理 发表于 2017-11-13 12:32

持续关注

jiaokai 发表于 2017-11-13 12:35

感谢分享支持

微笑男孩 发表于 2017-11-13 12:57

感谢分享，正好学习下

镇守爱情 发表于 2017-11-13 12:58

我来支持你来的

w1100312 发表于 2017-11-13 13:08

楼主 确实厉害   值得尊敬！！！！！！！！！！！！！！

po1718 发表于 2017-11-13 13:14

查看完整版本: 给Teleport VLX这个神器做4台手术