不脱壳破解(ASProtect 2.0x Registered)

liuwei21cn · 发表于 2009-2-17 15:59

【文章标题】: 不脱壳破解(ASProtect 2.0x Registered)练习笔记
【文章作者】: 狼魂
【作者主页】: http://www.wolf-soul.cn
【作者QQ号】: 859857556
【软件名称】: e2h-dist.exe
【下载地址】: 自己搜索下载
【作者声明】: 练习笔记。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  不脱壳破解(ASProtect 2.0x Registered)，练习笔记。
  首先载入OD，忽略所有异常。F9，然后点Rerister注册，输入注册名：WolfSoul，注册码：8888888，点OK弹出窗口后，
  在OD右键查看&查找所有参考文本。右键查找文本查找【codus】

  文本字串参考位于 exif2htm:
  地址    反汇编                                  文本字串

  ASCII "The code seems to be OK. Restart the program."//右键反汇编窗口跟随
  ASCII "\exif2htm.key"
  ASCII "
  "
  ASCII "Invalidus codus."

  来到反汇编窗口

  004A0418  |.  E8 57B1FFFF call exif2htm.0049B574                         //关键Call ，下硬件执行断点
  004A041D  |.  84C0       test al,al
  004A041F  |.  0F84 BD000000 je exif2htm.004A04E2
  004A0425  |.  B8 3C054A00 mov eax,exif2htm.004A053C             ;  ASCII "The code seems to be OK. Restart the program."
  004A042A  |.  E8 B52BF9FF call exif2htm.00432FE4
  004A042F  |.  8B15 888D4A00 mov edx,dword ptr ds:[4A8D88]          ;  exif2htm.004A9C44
  004A0435  |.  8B12       mov edx,dword ptr ds:[edx]
  004A0437  |.  8D85 28FEFFFF lea eax,[local.118]
  004A043D  |.  B9 74054A00 mov ecx,exif2htm.004A0574             ;  ASCII "\exif2htm.key"
  004A0442  |.  E8 4D46F6FF call exif2htm.00404A94
  004A0447  |.  8B95 28FEFFFF mov edx,[local.118]

call exif2htm.0049B574                         //关键Call ，下硬件执行断点    点文件的OK断下，F7进入F8下

  0049B626  |.  E8 7D96F6FF call exif2htm.00404CA8
  0049B62B  |.  8B45 EC    mov eax,[local.5]
  0049B62E  |.  8B55 F0    mov edx,[local.4]
  0049B631  |.  E8 5E95F6FF call exif2htm.00404B94                ;  //此处注意堆栈和寄存器  注册码出现
  0049B636  |.  75 02       jnz short exif2htm.0049B63A
  0049B638  |.  B3 01       mov bl,1
  0049B63A  |>  33C0       xor eax,eax
  0049B63C  |.  5A          pop edx
  0049B63D  |.  59          pop ecx

  寄存器
  EAX 02834608 ASCII "8888"
  ECX 00000000
  EDX 0283F5A0 ASCII "61033"
  堆栈

  0012EA5C 0012EA80
  0012EA60 00438F74  exif2htm.00438F74
  0012EA64 028520C0
  0012EA68 02852528  ASCII "888888888"
  0012EA6C 02834608  ASCII "8888"
  0012EA70 0283F5A0  ASCII "61033"
  0012EA74 0284E4DC  ASCII "888888888"
  0012EA78 0284E4DC  ASCII "888888888"
  0012EA7C 02848C48  ASCII "wolfsoul"
  0012EA80  /0012EC7C
  0012EA84  |004A041D  返回到 exif2htm.004A041D 来自 exif2htm.0049B574
  0012EA88  |0012EFB4  指向下一个 SEH 记录的指针
  Name：wolfsoul
  Code：8888-61033

--------------------------------------------------------------------------------
【经验总结】
  查找参考文本时，先修复一下代码。到达关键Call是注意堆栈和寄存器。

--------------------------------------------------------------------------------
【版权声明】: 本文原创于狼魂【wolfsoul】, 转载请注明作者并保持文章的完整, 谢谢!

                                                   2009年02月13日 14:50:52

zapline · 发表于 2009-2-17 16:32

搜索字符串
很常用的方法
还是有不少软件没防的

pizigao · 发表于 2009-4-10 13:40

加了壳了怎么还能查找字符串的？

331333 · 发表于 2009-4-10 22:03

我爱52破破从没走过

guxiaokang · 发表于 2011-4-30 21:10

提示: 作者被禁止或删除内容自动屏蔽

sonjab · 发表于 2011-6-24 20:45

有壳应该查不到相关字符串的？！！

帐号		自动登录	找回密码
密码			注册[Register]

guxiaokang guxiaokang 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	guxiaokang 发表于 2011-4-30 21:10 提示: 作者被禁止或删除内容自动屏蔽
	如何快速判断一个文件是否为病毒！
	回复支持举报

[分享] 不脱壳破解(ASProtect 2.0x Registered)