记一次火凤安装制作(打包)的破解以及去捆绑过程
本帖最后由 s1163262671 于 2017-11-22 20:06 编辑这个程序没壳,VC的
首先加载OD,破解比较简单
搜索字符串,搜索VIP
004183F0/.55 push ebp
004183F1|.8BEC mov ebp,esp
004183F3|.6A FF push -0x1
004183F5|.68 98914500 push HofoSetu.00459198
004183FA|.64:A1 0000000>mov eax,dword ptr fs:
00418400|.50 push eax
00418401|.83EC 08 sub esp,0x8
00418404|.A1 80C04600 mov eax,dword ptr ds:
00418409|.33C5 xor eax,ebp
0041840B|.50 push eax
0041840C|.8D45 F4 lea eax,
0041840F|.64:A3 0000000>mov dword ptr fs:,eax
00418415|.894D EC mov ,ecx
00418418|.8D4D F0 lea ecx,
0041841B|.E8 20DAFEFF call HofoSetu.00405E40
00418420|.C745 FC 00000>mov ,0x0
00418427|.8B45 EC mov eax,
0041842A|.83B8 C0030000>cmp dword ptr ds:,0x0
00418431|.74 5D je short HofoSetu.00418490
00418433|.8B4D EC mov ecx,
00418436|.8B91 C0030000 mov edx,dword ptr ds:
0041843C|.0FB602 movzx eax,byte ptr ds:
0041843F|.85C0 test eax,eax
00418441|.74 4D je short HofoSetu.00418490
00418443|.68 0CFE4500 push HofoSetu.0045FE0C ;尊敬的用户,您已经是VIP用户,尊享全部功能!
00418448|.8D4D F0 lea ecx,
0041844B|.E8 D0DAFEFF call HofoSetu.00405F20
00418450|.6A 00 push 0x0
00418452|.6A 00 push 0x0
00418454|.6A 00 push 0x0
00418456|.68 FE000000 push 0xFE
0041845B|.68 06693000 push 0x306906
00418460|.6A 64 push 0x64
00418462|.68 18010000 push 0x118
00418467|.6A 32 push 0x32
00418469|.6A 14 push 0x14
0041846B|.8D4D F0 lea ecx,
0041846E|.E8 FDDEFEFF call HofoSetu.00406370
00418473|.50 push eax
00418474|.8B4D EC mov ecx,
00418477|.8B91 BC030000 mov edx,dword ptr ds:
0041847D|.52 push edx
0041847E|.8B45 08 mov eax,
00418481|.50 push eax
00418482|.E8 B98CFEFF call HofoSetu.00401140
00418487|.8BC8 mov ecx,eax
00418489|.E8 A2920300 call HofoSetu.CNsImage::DrawString
0041848E|.EB 48 jmp short HofoSetu.004184D8
00418490|>68 3CFE4500 push HofoSetu.0045FE3C ;抱歉,此功能为VIP用户专享!
00418495|.8D4D F0 lea ecx,
00418498|.E8 83DAFEFF call HofoSetu.00405F20
0041849D|.6A 00 push 0x0
0041849F|.6A 00 push 0x0
看到这个跳转跳过了VIP
00418441|. /74 4D je short HofoSetu.00418490
运行在此时
0041843C|.0FB602 movzx eax,byte ptr ds:
edx=0012CE34
所以0012CE34就是判断是否跳转的关键点了
下断点
发现写入数据处
可以看到004141EB|.E8 100F0400 call HofoSetu.CNsCode::CheckCode
这个CheckCode函数。跟进
直接修改断首
00455100 > B8 01000000 mov eax,0x1
00455105 C3 retn
至此就破解完成了,所有功能都可以正常使用,但是在生成出来的安装器打开后,会后台静默下载安装qq浏览器
模板处于C:\Documents and Settings\Administrator\Local Settings\Temp\nsdemo.exe
所有安装包都是基于模板的,所以断定这个nsdemo有问题
这里我用IDA pro来加载,分析下静态代码。
可以发现很多函数是关于下载,开进程的
OD载入,随便跟一个
0042F9A0 >/$55 push ebp ;update
ebp=0012FFF0
本地调用来自 0042FFA3, 0043000E
nsdemo.CNsUpdate::VerifyFile
是个验证文件的函数。查看调用处,
这里有HTTP下载的函数,一看就不是什么正经功能。
向上回溯
发现一处jmp可以跳过所有静默安装的步骤。
只不过这个jmp被跳了,我这里nop填充下让jmp有效
ok,运行起来,没有偷偷下载,抓包也很干净。没有网络请求
至此破解完成!
原版:
链接: https://pan.baidu.com/s/1cBBAJ8 密码: 4esd
建议不要用这个软件,这软件不但有楼主分析安装有一堆推广,而且打包好安装包安装以后的卸载程序还有后门,在卸载软件的时候会推广一堆流氓软件,之前就有人分析过了。 谢谢分享 破解和暗桩 真是学习的好榜样,以后也要学下去捆绑。{:1_921:} 以后也要学下去捆绑 学习了学习了谢谢分享 学习了,不是太会破解。还在慢慢摸索 来学习一下,不过确实没看懂。
火凤 想法很好,水平不咋地 学习了!以后试一下!