使用OD去除某软件的暗桩

Jx29

一：破解前的准备工作
第一步：查壳file:///C:/Users/MI/Desktop/od%E5%AE%9E%E6%88%98%E7%AF%87%EF%BC%88%E4%B8%80%EF%BC%89%E4%BF%AE%E6%94%B9%E6%9F%90%E7%A8%8B%E5%BA%8F%E5%AF%B9%E8%AF%9D%E6%A1%86.files/image001.png
所用工具：Die  (下载地址: https://down.52pojie.cn/Tools/PEtools/die_winxp_portable_3.03.zip)

在红色箭头指的地方是编译器类型，也就是编写该程序所用编程语言这里可以清晰的看到该程序是用易语言编写的
（一般来说，编译器是Microsoft Linker 6.0/5.0 的都是用易语言编写的）

如果是普通壳，这里会有显示（如上图），但这个程序有点特殊

点击箭头所指的地方

这里我们可以看到这里有两个data区段，普通编译的程序不会出现两个data区段
这里放一张普通易语言程序的区段图用来对比

到这里，我们基本上能确定有壳了，但壳的类型未知将程序拖入OD

这里看似一切正常，实则暗藏玄机
OD的使用可以去看看其他大佬的教程，在这里我就不多说了先让程序跑起来看看

直接怼你一个对话框（别点确定，它会强制关闭你的电脑，直接结束进程就行了）
到这里，咱们的任务就明确了：过掉暗桩
第一种方法
在程序运行前先下一个对话框断点（bp MessageBoxExA）

点击OD上方的插件-Api断点工具-常用断点设置

按照上图从操作下断再让程序跑起来看看

可以看到程序已经成功的被断下了接下来我们开始回溯到关键地址看向栈地址（如下图）

往下翻，看到如下图所示的地方停住

选定箭头所指的地方，按下回车键
（Ps:解释一下为什么要选择那里，上面一个标红的是系统的dll，你总不可能去修改系统里的dll吧。当然，在以后的破解中我们会遇到需要多次回溯的，这个就需要一步一步试了）

Cpu窗口会停在箭头所指的地方，在这里下断把之前下的断点删掉，重新运行看看F8单步看看

在这里停下，按下空格键复制0x409398点击数据窗口，按下ctrl+G

粘贴到窗口后，点击确定

右键点击选定的地方，就可以修改字符串啦
比如，把它修改成 你好

这只是一个题外话，我们继续继续f8单步会运行出对话框，点击确定后继续f8

看见这个call后nop掉就去掉关机暗桩了
第二种方法在第一种方法中，我们看到了一个网站

复制到浏览器打开看看，看到一串数字
Size这个单词应该知道是什么意思吧，所有我猜测是软件的体积（后面验证出我的想法是对的）
把网址换成其他的或者修改返回的数据，就可以过掉暗桩了（去更新检测也是一样的）这个软件我就不发了，暗桩太多了（格盘,强制关机，无限弹窗等待），太恶心了

我心飘野

这么恶心的软件的确比较少见，看来也是实现特殊功能的，否则也不会设置格盘，强制关机等。。。。

列明

看的很流暢，就是我對棧窗口還是不是很明白具體有什麽作用以及用法，所以那幾步操作我只知道是爲了找到彈窗來源，我卻不知道怎麽個找法，按你的步驟我是會了，但是讓我在別的軟件中這麽找，我還是不會。我只知道棧是先入後出，後入先出這麽個個概念。

wqs0601

不明觉厉ING

henry217

这种程序直接放弃吧，用od搞就浪费时间了

FlyingFire

写得清晰明了，适合小白看，感谢分享。

137313659

软件发下呗。练练手

wangsheng66

口吐芬芳。

fscc无误

软件发下呗。练练手

夕阳枫

高人高见，太高深了，都看不懂。

cyczq3

看不懂。

cyczq3

虽看不是很懂，还是支持大佬，重复发言是我的浏览器有问题了吗？每次店家都不会跳转，奇怪了，后面看一下却已经发送成功了