QQXX感V3.7的不脱壳破解教程

ec0li

程序还是QQ第六感V3.7我们绕开壳做Load外挂。 脱壳的目的是为了看到字符串，所以省去了文件的修复，因为无需运行 我们用W32asm加载，查看字符串参考。很清晰，很明了，找到"注册成功！"上面有一段代码：:00402832 56                        push esi
:00402833 8BF1                    mov esi, ecx
:00402835 E8B3EFFFFF              call 004017ED
:0040283A 8BC8                    mov ecx, eax
:0040283C E8CBF0FFFF              call 0040190C
:00402841 84C0                    test al, al
:00402843 8BCE                    mov ecx, esi
:00402845 7442                    je 00402889    注册判断跳转
:00402847 53                      push ebx
:00402848 57                      push edi
:00402849 6A40                    push 00000040 修改跳转是不管用的因为前面还有字符要求的检测，比如是否为空或者是否符合格式要求 所以他不是我们的重点，在他前面有一个Call我们进去看看：* Referenced by a CALL at Addresses:
|:0040283C   , :00402E31   , :00405D45   , :00406C88   , :00406E33   
|
:0040190C 51                      push ecx
:0040190D 56                      push esi
:0040190E 8BF1                    mov esi, ecx
:00401910 FF7628                  push [esi+28]
:00401913 8D4604                  lea eax, dword ptr [esi+04]
:00401916 FF7624                  push [esi+24]
:00401919 83EC1C                  sub esp, 0000001C
:0040191C 8BCC                    mov ecx, esp
:0040191E 89642428                mov dword ptr [esp+28], esp
:00401922 50                      push eax
:00401923 E8C2FFFFFF              call 004018EA
:00401928 8BCE                    mov ecx, esi
:0040192A E859FFFFFF              call 00401888
:0040192F 5E                      pop esi
:00401930 59                      pop ecx
:00401931 C3                      ret 这个Call就是注册的检查，返回的值给一下五个位置 :0040283C   , :00402E31   , :00405D45   , :00406C88   , :00406E33  分别被告知是否是已注册程序，所以我们分别分析一下 :00402845 7442                    je 00402889  输入注册码是否正确的检测判断:00402E3C 7407                    je 00402E45:00405D52 7410                    je 00405D64:00406C8F 7513                    jne 00406CA4 是否弹出开始对话框:00406E3C 7407                    je 00406E45   标题为已注册还是未注册 只要我们修改这5个跳转就能成功破解 再一个问题就是弹出网页的问题： 我们用LocPlus查找字符串发现了打开的网址253576:http://www.v2233.com/?399我们把它删除然后修改字符串，来比较修改前后两个文件的不同<Offset(file1)>    <file1>  <file2>    <Offset(file2)>       3DE88h        68h      32h         3DE88h
       3DE89h        74h      35h         3DE89h
       3DE8Ah        74h      34h         3DE8Ah
       3DE8Bh        70h      35h         3DE8Bh
       3DE8Ch        3Ah      30h         3DE8Ch
       3DE8Dh        2Fh      30h         3DE8Dh
       3DE8Eh        2Fh      3Ah         3DE8Eh
       3DE8Fh        77h      3Dh         3DE8Fh
       3DE90h        77h      3Dh         3DE90h
       3DE91h        77h      00h         3DE91h
       3DE92h        2Eh      00h         3DE92h
       3DE93h        76h      00h         3DE93h
       3DE94h        32h      00h         3DE94h
       3DE95h        32h      00h         3DE95h
       3DE96h        33h      00h         3DE96h
       3DE97h        33h      00h         3DE97h
       3DE98h        2Eh      00h         3DE98h
       3DE99h        63h      00h         3DE99h
       3DE9Ah        6Fh      00h         3DE9Ah
       3DE9Bh        6Dh      00h         3DE9Bh
       3DE9Ch        2Fh      00h         3DE9Ch
       3DE9Dh        3Fh      00h         3DE9Dh
       3DE9Eh        33h      00h         3DE9Eh
       3DE9Fh        39h      00h         3DE9Fh
       3DEA0h        39h      00h         3DEA0h 接下来是做内存补丁 最后如果我们想用自己的名字注册那就加入一个注册表补丁如下 REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\小飞侠.NET][HKEY_LOCAL_MACHINE\SOFTWARE\小飞侠.NET\QQ第六感][HKEY_LOCAL_MACHINE\SOFTWARE\小飞侠.NET\QQ第六感\Setting]
"ID"="ec0li"
这样就完成了。。

fgd888

让你吓了一跳,还以为这个软件更新了呢,好多年没听到这个软件了.当年没少网吧没少骚扰人啊.

许哥哥

楼主辛苦

xiaohong

楼主辛苦

xyz1125

楼主辛苦

bluesjim

好多年以前使用过，现在应该用不了了吧。