记一次奇葩的破解软件教程~
本帖最后由 HK牛牛 于 2018-4-12 16:36 编辑买了个声卡,所以最近沉迷变声器无法自拔,
正好呢 朋友发了一个机架变声的软件,
发现还要钱,像我这种穷宅男,买是不可能买的
只能自己动手丰衣足食
https://static.52pojie.cn/static/image/hrline/1.gifhttps://static.52pojie.cn/static/image/hrline/1.gif
下载软件,拖进PEiD查壳
发现是UPX壳,祭出我的脱壳机,爆他菊花!
脱完壳,找到脱壳后的程序。
准备拖入OD,慢慢的折磨她~
等等!!!!
这是什么?
上面那个文件我知道是脱壳后自动保存的源文件
那这个是个啥东西呢? 后缀还是ex~????
经过我的一番测试,把后缀改成了exe
然后才猛然发现,这tm不是还没加壳的源程序?
噗
原谅我笑了,这个作者加完壳还把源程序留下来!!
https://static.52pojie.cn/static/image/hrline/5.gifhttps://static.52pojie.cn/static/image/hrline/5.gifhttps://static.52pojie.cn/static/image/hrline/5.gif
继续,继续,哈哈哈哈哈哈哈哈哈哈哈哈哈哈!!
把脱完壳的软件 拖进OD
然后,首先Ctrl+G 搜索 401000
然后右键中文搜索引擎,搜索ASCII
看这个字符串 应该是易游验证
这就很开心了,易游验证 多好搞
来来来 我们给他山寨了!!
https://static.52pojie.cn/static/image/hrline/4.gifhttps://static.52pojie.cn/static/image/hrline/4.gif
然而,经过我的一番寻找 我tm竟然没找到WEB地址???
这tm不就尴尬了,我也是个小白,山寨不了咋弄。
不信邪,首先先祭上抓包工具SRSniffer
然后打开软件 点登陆,看一下WEB地址
https://static.52pojie.cn/static/image/hrline/line7.pnghttps://static.52pojie.cn/static/image/hrline/line7.pnghttps://static.52pojie.cn/static/image/hrline/line7.pnghttps://static.52pojie.cn/static/image/hrline/line7.pnghttps://static.52pojie.cn/static/image/hrline/line7.pnghttps://static.52pojie.cn/static/image/hrline/line7.pnghttps://static.52pojie.cn/static/image/hrline/line7.png
然后重启回来的我。。。。。
我tm 这软件还有检测OD的,刚刚打开软件的时候 OD没关
直接给我黑屏重启,不知道是不是锁机或者格盘,辛亏开了影子模式
https://static.52pojie.cn/static/image/hrline/line7.pnghttps://static.52pojie.cn/static/image/hrline/line7.pnghttps://static.52pojie.cn/static/image/hrline/line7.pnghttps://static.52pojie.cn/static/image/hrline/line7.pnghttps://static.52pojie.cn/static/image/hrline/line7.pnghttps://static.52pojie.cn/static/image/hrline/line7.pnghttps://static.52pojie.cn/static/image/hrline/line7.png
继续 继续,打开软件 点登陆,看一下WEB地址
把这个地址记录一下,然后打开字符串修改工具
输入刚刚查到的地址,然后查找,发现还是没找到,
看来是用什么手段隐藏起来了,
https://static.52pojie.cn/static/image/hrline/5.gifhttps://static.52pojie.cn/static/image/hrline/5.gif
像我这种小白,就卡在这里了,在论坛里看见的破解易游的全是山寨,都是没隐藏WEB
怎么到我这里就不一样了??有点懵,但是!!不能放弃{:17_1089:}
捋了捋思路,想想以前破解的易游,可以从到期时间下手
继续OD跑起来!
找到到期时间,双击他 来到LCG界面
往上找关键跳
一路越过无数JMPJE 跳 终于找到关键跳!
然后修改jnz为je
有人要问,为什么要改je,而不是jmp
我tm也不知道,我试了改jmp没用= =只能靠猜才能维持了生活这样子~
改完后,复制到可执行文件 所有修改,然后保存 运行试试[当然我没忘了关OD]
没那个能力nop掉关机 只能这样操作
嘿!我真他娘的是个天才
https://static.52pojie.cn/static/image/hrline/2.gif
正当我高兴之际,软件突然关闭了。。闭了。。了。。
留下一脸懵逼的我~
我tm!! 软件还有自效验!
然而我在一小时内找了无数遍还是没找到在哪效验的!
我觉得我要放弃了!
无意间才发现!
软件才2.65MB??
而机架不可能这么小
果然~重新打开破解的软件,打开任务管理器,看一下有没有别的进程!
发现打开任务管理器后软件就会自动关闭,这一点很不正常,
那我们去网上随便找个进程查看器 看一下!
果然,在软件登陆后,会有一个 lsass.dll的异常程序
我们右键看一下这个文件路径
然后发现文件路径不存在,应该是软件是通过内存加载的方式加载这个程序的
那为什么会阻止任务管理器来查看呢?
我尝试用进程管理器 来结束掉源程序,看看他打开的这个程序会不会出错
发现1.exe 也就是被破解的源程序被强制关掉后
lsass程序 不会触发自效验 也就是软件被关闭
https://static.52pojie.cn/static/image/hrline/3.gifhttps://static.52pojie.cn/static/image/hrline/3.gif
那在这里就真相大白了= =
软件登录后会加载lsass程序 然后发现登录异常就会结束掉lsass程序 然后结束自身
干掉自检验也就是 登录后等待lsass加载然后结束掉登录程序就可以了
https://static.52pojie.cn/static/image/hrline/3.gifhttps://static.52pojie.cn/static/image/hrline/3.gif
那最后,发现源程序被结束掉后,lsass的程序也出现在软件的文件夹里了
这个可以说明 源程序加载lsass程序后 进行了隐藏 保护 等操作
所以现在 就可以直接把lsass.dll单独拿出来 然后后缀改成exe文件 就完美破解了~
https://static.52pojie.cn/static/image/hrline/1.gifhttps://static.52pojie.cn/static/image/hrline/1.gif
完结~~~~撒花~
新手破解思路,大牛勿喷,像我们这种小白 才会绞尽脑汁
在破不了的情况下 想别的办法绕过去~
开心 开心~
顺便求评分~
感谢你们~
软件下载地址:https://pan.baidu.com/s/1UdKVvV0srzoHd-g6ulZmkA
分享密码:mnsp
wxxcs 发表于 2018-4-12 21:35
膜拜大佬,我现在就在努力看这些心得,虽然很多看不明白,看来得先去看看论坛给的破解入门资料!
其实入门很简单,有时候这东西就是一点就通 有时候你看半天都不明白 自己多动手 Hmily 发表于 2018-4-13 17:39
UPX加壳默认会把没加壳时的PE信息携带上,UPX自己支持加壳也支持脱壳,就是靠带有加壳前pe信息,所以不是带 ...
这是机架软件 他本来就是加了一个托盘功能 可以方便的控制,因为原先的软件不支持快捷键 很多刚接触的小白不懂 所以做出这个软件 。 能把破解后的程序发出来吗? 楼主机智 膜拜了新的大牛就要产生,混52多年也就签到看热闹,玩PJ可能是我没有那个天分吧。 三笙三世 发表于 2018-4-12 16:00
能把破解后的程序发出来吗?
软件安装包太大240MB lao_jin 发表于 2018-4-12 16:03
膜拜了新的大牛就要产生,混52多年也就签到看热闹,玩PJ可能是我没有那个天分吧。
我也就是思路多了点,大牛算不上。 HK牛牛 发表于 2018-4-12 16:06
软件安装包太大240MB
可以传到百度网盘、微云或者蓝奏 我想跟你学习技术 HK牛牛 发表于 2018-4-12 16:07
我也就是思路多了点,大牛算不上。
看好你老铁,向你学习。 三笙三世 发表于 2018-4-12 16:07
可以传到百度网盘、微云或者蓝奏
哦哦 好的 我一会把下载地方放到帖子最后!