屏幕截图软件FSCapture脱壳破解（多种方法）

Simplecracker

前天，工作需要，需要把一个网页整页都截下来成一个图片，QQ的截图固然不错，可以它最多只能截整个屏幕的，像网页这种带滚动条的，几页的就只能分着截图然后自己用PS合成了，觉得比较麻烦，于是上网搜了一下发现了一个十分不错的工具FSCapture。立刻下载下来发现需要注册，正版的竟然要$19.95!!!!我滴娘亲！！！那可是120多RMB啊！！！不注册的话就有30天的试用期。好吧，我只能对不起作者了。个人用途，非商业，偶尔做做坏事，没什么问题。直接进入主题。
发帖之前搜索了下论坛，有破解后的版本，倒是没有破文，所以就献丑了，本软件比较容易，同是新手的朋友可以来练下手，高手就不用看了。
首先，PEID查壳：什么都没有，


可以看区段是UPX0，应该是UPX的壳。 OD载入：


奇葩的入口，前面有求助大家，在我电脑上UPX和ASpack会出现这种入口比较奇葩的现象。比较奇怪，小白如我，当然不知道什么情况，好在后续的调试并没有很大影响。
入口近CALL，F7后F8

到了这里，

可以看到pushad，但不是UPX的入口但是我们仍然用ESP定律，到了：
这里在RETN后F8，来到：

这里才是UPX的真正入口。
UPX的加壳软件在我电脑上就是这样的，程序入口不一样，代码也就自然不一样了。具体原因希望有大神指导下。
后面的就是继续ESP定律：

可以看到Borland Delphi 7的入口。我还是比较喜欢Delphi这种语言的。后面就是LordPE

然后在IR修复：

。先试运行：

可以看到完全跑起来了，并且带有重启验证。先注册下：

错误提示，那么就可搜索字符串或者F12暂停了。就搜索字符串吧，比较容易点：搜索字符串并查找：Invalid user or registeration code

哈哈哈！！！上面是congratulation！！！开森！！

既有注册错误，又有注册成功的提示，而且看注册成功的语句，好多个版本
有个人的，企业的，教育的等等，还不错嘛！记下006370AF处，上面肯定有条件跳转转到这里。然后向上翻代码。

看到那个user name cannot be empty.了吗？上面肯定是获取注册名然后判断是否为空了，那下面就是开始验证喽！
F2在上面的JNZ转向的位置下好断点：

。运行，注册。就段下来了：

这两个跳转都没有实现，不用管他。
上面我们看到006370AF处是错误提示，看到这么多的条件跳向006370AF，看起老好多次判断呢。继续调试：


好啦！F9跑起！！！

注册成功！！！
上面我们看到好多个注册成功，注册成家庭啦，企业啦，教育版啦，大家可以根据上面的条件跳自己玩一下。
接下来第二种方法破解之（夹杂第三种）。
前面提到，这个软件是有重启认证的，那么我们在他认证的时候跳过，那不就OK啦！另外这个软件还是比较傻的，前面调试成功了，后面即使你不保存那么再重新启动的话也不会有这个提示窗口，也就是说有个地方保存了上面的注册信息。（这也是第四种方法的有来）。为了掩饰，只好把他卸了重新安装，脱壳的那份没有保存爆破的就留着了。
看启动窗口：

这时候仍然去查找字符串去：
搜索 Trial Version：

哈哈！！上面的信息全都有，另外我是前天第一次安装他的，所以我的上面是28。那就双击进去吧！

就是酱紫的。注意这个地址00650712。另外向下翻一下看这里：

1E不就30么。那么你把他改成FFFFFFFF，那不就是随便用啦！！！这是另外一种方式。继续上面的那个。
可以看到上面00650712的地方是试用版的那个提示窗口，那么上面就有条件跳跳过喽。向上翻：

，管他三七二十一！！暴力到底！！全部改成JMP！！！！
启动，直接没有了注册提示。嘿嘿。。我前天改的时候是改jmp就好了，现在发帖子的时候发现出现出错的情况了不知道什么情况，大家可以试试。
上面三种方法破解之了，下面第四种方法。
上面分析到这软件是有文件保存配置信息或者注册信息的。开始我找的注册表，后来没发现有价值的东西，那么就试试
pb CreateFileA吧。发现程序在C:\Users\Administrator\AppData\Local\FastStone\FSC下有配置文件，赶紧打开看看，

好像没什么有营养的。这时，想起来打开那么注册之后的瞧瞧。

，嘿嘿！！看到了没？？注册信息，那么直接把这个注册后的配置文件放到这个目录下呢？
来试试看：

哈哈！！直接成功，脱壳什么的都省了。大家可以拿去试试，有什么心得可以相互交流学习下！
另外，公司这网速！哎~~~无力吐槽了，都发三遍了才发上来。

FSCapture.part1.rar (1 MB, 下载次数: 253)

2015-6-18 11:20 上传

点击文件名下载附件

FSCapture.part3.rar (1 MB, 下载次数: 169)

2015-6-18 11:20 上传

点击文件名下载附件

FSCapture.part2.rar (1 MB, 下载次数: 163)

2015-6-18 11:24 上传

点击文件名下载附件

FSCapture.part4.rar (870.36 KB, 下载次数: 192)

2015-6-18 11:24 上传

点击文件名下载附件

Simplecracker

Hmily 发表于 2015-6-19 16:29
这个不应该，是不是你感染病毒了，入口都被病毒感染了？可以提供一个文件放放盘，给你看看。

http://yunpan.cn/cQSdZnrtEvegA  访问密码 bdbf。是一个加壳的UPX的记事本，黑鹰教程里面的。这个源程序在我刚开始学习脱壳的时候还是正常的，不知道什么时候起入口点就变了，入口代码自然也就变了。请你帮忙看下。还有我电脑上不知什么时候几乎所有文件夹都被改成了只读，而且我明明是管理员权限，却不能删除。。。想格式化，可是好容易下载的那么教程又舍不得。。。

Simplecracker

Hmily 发表于 2015-6-18 16:53
教程写的很详细，挺不错的，爆破过程看起来还可以完美一下，尽量少改跳转，看看是什么标志位导致跳转的，把 ...

哇！！老大来啦！！！改的确实有点多，不过这个软件在验证的时候好像对注册名很感兴趣，检测好多遍。然后有4个CALL连续验证，以我现在的水平也就见跳就NOP了。不过话说注册码在我整个过程中都没看到。。。连假码都没看到。水平亟待提高。后续看看能不能追出注册码或者分析出算法了。谢谢鼓励！！

Godfather.Cr

啥也不说了，难得有这么详细的分析，加分鼓励

mjwde

感谢楼主分享这么实用的软件

Simplecracker

Godfather.Cr 发表于 2015-6-18 11:43
啥也不说了，难得有这么详细的分析，加分鼓励

实在是惭愧，爆破虽然给弄了，但是从始至终都没看到注册码。。。。。连假码都没看到。。。不过看注册那块，那么多的字符串用peid查了算法，然后我就开开森森的放弃想看看注册码的想法了。

Godfather.Cr

Simplecracker 发表于 2015-6-18 11:49
实在是惭愧，爆破虽然给弄了，但是从始至终都没看到注册码。。。。。连假码都没看到。。。不过看注册那块 ...

有时候量力而行，适当的放弃是真正聪明人的选择。。
等哪天有实力了，再去研究不迟

1067567482

有没有汉化的

Simplecracker

1067567482 发表于 2015-6-18 11:57
有没有汉化的

这个还没有，试着该他的窗体了，但是提示错误，就没有弄这个。

tony1435

虽然不懂，但技术贴必须支持~

550714058

謝謝分享

tony1435

截了本贴一试，左边那截的有问题~