玩玩破解，写给新人看（第十八集）

yyhd · 发表于 2021-2-5 22:40

本帖最后由 yyhd 于 2021-10-16 00:24 编辑

破解软件使用次数

回顾一下上集的内容，主要讲了三个知识点：

1、软件脱壳后，通常会有“文件大小”的校验。

2、通过对函数GetFileSize、FindFirstFile下断点绕过反调试。

3、初步介绍易语言的“按钮事件”断点的使用。

本集，我们再换个玩法。

首先，我们来看看本次CM的特点：有使用次数的限制。

第一次运行CM提示如下：

看到吗？你只有5次机会。

每次重新打开这个CM，使用次数会减少1次。

如果当你达到5次以后，再打开CM，见下图：

旁边有一个“重新开始”按钮。

如果你还没有破解成功，或者还想用OD再分析，你就点一下这个按钮，你就可以重新获得5次机会。

呵呵，设计的够人性化吧。

我为什么要自己写课件CM？

因为能够真正符合讲课内容的需要。

真正符合新人朋友们多次进行练习的需要。

当你破解成功后，会出现下图：

而且你每次重新打开CM，都不需要再重新输入账号和密码了。

好了，这就是属于有“使用次数”限制的软件。

那么，我们怎么破解呢？

我们先思考一个问题：软件怎么会知道我们打开了几次呢？

显然应该有个“记录”，每打开一次CM就记录一次。

我们如果能够找到这个“记录”，修改一下记录的次数，是不是就可以破解成功了呢？

呵呵，思路完全正确！

我们继续思考。

这个“记录”会存放在哪里呢？

首先不可能存在程序本身，因为程序每次关掉后数据都会清空。

那一定在我们使用的电脑上的某个位置。

是的，这个位置可以是注册表，也可以是电脑里面的文件。

还可以在哪？

还可以在外部设备，比如U盘，或者是网络上的某个位置。

因为我们这个CM不考虑加密狗和网络验证，所以这个“记录”就存放在我们的电脑里。

明白了这种类型的软件必须要有一个“使用次数”的记录就可以了。

我们继续。

我们把CM拖到OD里，先进行字符串搜索。见下图：

为了让大家看的清楚，我没有对敏感字符串加密，所以你现在可以看到一切需要的东西。

看红色箭头指的地方，写着“HKEY_LOCAL_MACHINE\SOFTWARE\CM0202”。

这个就是我们这个CM的使用次数存放的位置，是在注册表里。

项名称是CM0202,键名称是PassWord。

我们可以打开注册表看看，见下图：

明白了这类软件如何实现对使用次数进行识别的原理了吧。

你可以在这里把1改成5，呵呵，那就还剩下5次。

或者干脆把它改成999次，你可以试试？

除了直接改注册表里面的数据以外，我们用OD如何破解呢？

第一种方法可以搜索字符串，你刚才看到了很多敏感的字符串，你可以自己尝试一下进行破解，在此略过。

第二种方法可以对读注册表的API函数下断点，这种方法在以前关于重启验证的课程中也专门讲过，在此也略过。

不过要注意的是这个CM所用的读写注册表的API函数和以前讲的注册表重启验证有些区别，你试试看吧。

我个人的经验是你要多试几个API，看看哪个能用？

最保险的方法是你把RegOpenKeyA、RegOpenKeyExA这两个都下上。

RegCreatKeyA和RegCreatKeyExA与上两个函数相比除了可以打开注册项外还可以创建项。

第三种方法可以下易语言“按钮事件”断点，这种方法在上集也讲过，在此也略过。

第四种方法可以对写注册表的API函数下断点。

我个人推荐如果要使用关于注册表的API函数的话，就用这种方法。

有两个写注册表的函数，名称是RegSetValueA和RegSetValueExA。

用RegSetValueA断不下来，要用RegSetValueExA。

我们想一下，什么时候程序会调用写注册项这个函数？

就是当没有破解成功的时候，每次打开CM后会执行调用这个函数的某句代码，往注册项里写已经使用的次数。

我们只要跳过这句代码就可以一直保持5次，不再减少次数。

再深入思考下，如果我们输入了正确的账号和密码，登录以后，这个程序是不是也要往注册表里写成功的标志？

否则我们再重新打开软件的时候它怎么判断我们是正版用户？

所以，有一个办法，你对RegSetValueExA函数下所有的参考断点。见下图：

下所有参考断点的方法是在命令行输入BPX RegSetValueExA ,然后按回车键，就好了。

然后你可以到断点窗口看一下。见下图：

Pierce · 发表于 2021-2-15 17:44

先载入OD运行F9跑起来
Ctrl+B查找FF 55 FC 5F 5E 按钮call,F2下断
随便输入账号密码登录,断下来了,F2取消掉断点，回车进去call里
至此已经找到登录call了.

004036BC /. 55 push ebp 登录call头部
F2下断,F9跑1下，断下来了，开始F8跟进
一直追到retn之前，按 “-” 回溯
找到以下跳转, nop掉或者jne，复制可执行文件，保存ojbk

下面来追码一直在登录call里找
先F8追了下,发现怀疑字符 1314 ,5211314
1314填入，登录，没有什么发现。
5211314填入，登录，一直F8到以下

发现寄存器字符 eijop25
F9跑起来，填入密码 eijop25
登录。噢了

1113519447 · 发表于 2021-2-11 11:00

交作业，未注册代码中直接调已注册代码段，call

流光 · 发表于 2021-10-25 12:57

首先字符串搜索成功的地址

可以看到
成功的地址的段头为004035B0
.

那么我们整理思路  是什么情况下  会call 或者jmp这段成功地址头,肯定就是关键地址所在了
按照这个思路去搜索命令
call 004035B0
先返回程序头00401000
CTRL + F  搜索  call 004035B0

CTRL +L 继续搜索

一共找到2个地方然后按钮事件下断 ,就可以调试了
经测试两次地址分别为程序加载后自动成功破解 , 和按钮点击后提示成功,具体需求,各位同学自己去改

helc · 发表于 2021-12-15 16:39

CM_使用次数.exe
对于这个作业我看了下评论区的答案和楼主写的，对它有了新的思路。
要破解它，答案在评论区写的很清楚了，但我要做的不是破解它，而是去除使用次数的限制。
1.od载入，来到401000处，搜索字符串“未注册”，进入那个“未注册版本”的代码区。
0040344D /E9 5A010000 jmp CM_使用?004035AC
找到这行，它能跳过。这一行的下一行恰好有个跳转来源。
00403342 /0F85 0A010000 jnz CM_使用?00403452
这个jnz是实现的，可以下断点看。
一开始以为nop掉它，就能成功了，却发现会来到“没有机会”的界面，显然不对。
2.思考新的思路，首先我只看到jmp和jnz这两个跳转，应该就是关键处，只能改它们。
但无论是nop它们，还是交叉组合，都不行。
最后发现还有一种组合没尝试，那就是都实现，可jnz是跳到jmp下面的。
那就改jnz直接跳到jmp，保存出去。
3.惊喜发现，程序没有“使用次数”的提示了。关闭n次，也能继续输入。那应该算是去除使用次数限制了吧。后面的就是追码或者爆破了。

总结：新思路：直接去除使用次数限制

zhengyw6 · 发表于 2021-8-27 17:07

第一步、在RegSetValueExA下断点。返回主进程后，再返回上一层函数，nop掉409411处的这个函数，就不再会写入运行次数了。
第二步、下按钮断点。从该过程后面往前找，发现密码错误跳过的程序段有注册表访问，猜测此处为关键代码，将403875处代码nop，转入该代码段即可破解。

幽溪左畔 · 发表于 2021-2-8 09:09

YMYS 发表于 2021-2-7 22:48
请问大佬您是怎么找到关键call的呢

RegSetValueExA下断返回5层

00401B91    /0F85 0A000000 jnz CM_使用?00401BA1
00401B97  |. |E8 5B170000 call CM_使用?004032F7
00401B9C    |E9 05000000 jmp CM_使用?00401BA6
00401BA1  |> \E8 0A1A0000 call CM_使用?004035B0

PrincessSnow · 发表于 2021-2-6 01:06

谢谢大佬谢谢老师

冷凯 · 发表于 2021-2-5 22:46

高产啊大佬

YMYS · 发表于 2021-2-5 22:55

来了来了学习了

mili · 发表于 2021-2-5 22:55

老师高产啊，同学们上课了

wangdanq · 发表于 2021-2-5 23:05

谢谢分享来学习了

xuhw · 发表于 2021-2-5 23:43

我一定要好好的练练这武功秘笈，在逆向领域让自己能更上一层楼，感谢大大~

shc1221 · 发表于 2021-2-5 23:49

感谢大佬辛苦付出

lho · 发表于 2021-2-6 00:09

谢谢分享来学习了

theStyx · 发表于 2021-2-6 00:31

感谢大佬分享

帐号		自动登录	找回密码
密码			注册[Register]

[原创] 玩玩破解，写给新人看（第十八集）

免费评分

本帖被以下淘专辑推荐: