|
一个字节和谐疯狂算术 PEID先查壳,北斗的壳:nSPack 3.7 -> North Star/Liu Xing Ping。不脱壳了,先ESP定律到OEP。(不要问我ESP定律是什么?不然就请先自修一下脱壳的基础知识。) 到OEP后,如果看不见代码,就右击选“分析”中的“删除代码”即可。 然后下BPX_____vbaStrCmp断点,下好断点后,先把断点都禁止。运行软件,随便点击一个苹果,出份题,出题的时候不要选择“一级”试题,选个其他的。选好后,先别忙点击“生成试题”按钮,先把断点都激活。然后点击“生成试题”。OD断下来了,如下:
004C7636 68 688A4400 push 复件_(2).00448A68 ; UNICODE"yeszhuce" 004C763B FF15 14114000 call dword ptr ds:[0x401114] ; MSVBVM60.__vbaStrCmp 004C7641 85C0 test eax,eax //关键比较 004C7643 0F8420010000 je 复件_(2).004C7769 //关键跳
怎样达到一字节和谐掉这个软件呢?就是修改关键比较,我们只需把testeax,eax 修改为cmp eax,eax 即可改变关键跳转。二进制值由 85C0 修改为 3BC0 ,因此我们只修改了一个字节。 最后我介绍一个新的能带壳打补丁的工具,这个工具是从天草高级班18课那里弄来的。具体用法可以参考天草高级班18课《18、新补丁工具Loader-ASPr2.X》,挺好用的。如图: 然后点击“Create Loader”,生成一个loader。我们把它和源程序放在同一目录中。双击“LOADER”选择“FKSS”,点击“打开”即可。如图 现在我们运行FKSS.EXE,发现可以随便出题了。当然注册窗口没有去掉,不过那个没有影响。至此,我们一个字节和谐掉了“疯狂算术”。如果大家有更好的破解方法,请站内交流。如果你觉得好的话请评分,谢谢!!!
| 
发表于 2012-3-26 19:25
