闲来无事,就去网上找了个软件来练练手,顺便记录一下。打开软件
提示网络连接失败,估计这个软件没人维护了。
点确定,可以进入软件界面
看到未注册几个字,关掉软件准备载入OD,
网页弹出购买链接,嗯~,很皮。虽然可以不管他,破解后就不会弹了,不过他引起了我的注意,我决定干掉他。查壳,无壳,vc++程序
载入OD,搜索字符串,查找http,找到两个地方
跟进去。
[Asm] 纯文本查看 复制代码 0042EE3C /. 55 push ebp
0042EE3D |. 8BEC mov ebp,esp
0042EE3F |. 81EC 04000000 sub esp,0x4
0042EE45 |. 833D B43E7700>cmp dword ptr ds:[0x773EB4],0x1
0042EE4C 0F85 05000000 jnz 爱宝贝起.0042EE57 jnz改nop
0042EE52 |. E9 23000000 jmp 爱宝贝起.0042EE7A
0042EE57 |> 68 04000080 push 0x80000004
0042EE5C |. 6A 00 push 0x0
0042EE5E |. 68 A0F75400 push 爱宝贝起.0054F7A0 ; http://item.taobao.com/item.htm?id=27267864355
0042EE63 |. 68 01000000 push 0x1
0042EE68 |. B8 06000000 mov eax,0x6
0042EE6D |. BB 703E4E00 mov ebx,爱宝贝起.004E3E70
0042EE72 |. E8 018B0100 call 爱宝贝起.00447978
0042EE77 |. 83C4 10 add esp,0x10
0042EE7A |> 8BE5 mov esp,ebp
0042EE7C |. 5D pop ebp ; kernel32.74D2336A
0042EE7D \. C3 retn
两处地方都一样,改掉就好了。接下来搜索未注册,找到,跟进去
[Asm] 纯文本查看 复制代码 004170AC |. 8945 F4 mov [local.3],eax ; kernel32.BaseThreadInitThunk
004170AF |. 8D45 F4 lea eax,[local.3]
004170B2 |. 50 push eax ; kernel32.BaseThreadInitThunk
004170B3 |. E8 F7050000 call 爱宝贝起.004176AF 关键call
004170B8 |. 8945 EC mov [local.5],eax ; kernel32.BaseThreadInitThunk
004170BB |. 837D EC 01 cmp [local.5],0x1
004170BF |. 0F85 2C000000 jnz 爱宝贝起.004170F1 这里跳向未注册那么上面的call应该就是关键call了,改call一劳永逸
004170C5 |. C705 B43E7700>mov dword ptr ds:[0x773EB4],0x1
004170CF |. 6A 00 push 0x0
004170D1 |. 68 98045600 push 爱宝贝起.00560498 ; 爱宝贝起名软件 2013(已注册)
004170D6 |. 6A FF push -0x1
004170D8 |. 6A 08 push 0x8
004170DA |. 68 00000106 push 0x6010000
004170DF |. 68 01000152 push 0x52010001
004170E4 |. E8 9B080300 call 爱宝贝起.00447984
004170E9 |. 83C4 18 add esp,0x18
004170EC |. E9 27000000 jmp 爱宝贝起.00417118
004170F1 |> C705 B43E7700>mov dword ptr ds:[0x773EB4],0x0
004170FB |. 6A 00 push 0x0
004170FD |. 68 B6045600 push 爱宝贝起.005604B6 ; 爱宝贝起名软件 2013(未注册)
00417102 |. 6A FF push -0x1
00417104 |. 6A 08 push 0x8
00417106 |. 68 00000106 push 0x6010000
0041710B |. 68 01000152 push 0x52010001
00417110 |. E8 6F080300 call 爱宝贝起.00447984
00417115 |. 83C4 18 add esp,0x18
00417118 |> E9 30000000 jmp 爱宝贝起.0041714D
0041711D |> 6A 00 push 0x0
0041711F |. 6A 00 push 0x0
00417121 |. 6A 00 push 0x0
00417123 |. 68 01030080 push 0x80000301
00417128 |. 6A 00 push 0x0
0041712A |. 68 00000000 push 0x0
0041712F |. 68 04000080 push 0x80000004
00417134 |. 6A 00 push 0x0
00417136 |. 68 D4045600 push 爱宝贝起.005604D4 ; 网络连接失败
0041713B |. 68 03000000 push 0x3
00417140 |. BB 70BC4400 mov ebx,爱宝贝起.0044BC70
00417145 |. E8 28080300 call 爱宝贝起.00447972
0041714A |. 83C4 28 add esp,0x28
跟进关键call,段首改
mov eax,0x1
retn
保存文件打开还提示网络连接失败,恩,这软件废了。。。。
点确定进入软件界面
已注册,试一下功能弹出这玩意。。
暗装???并不是,打开原软件,一样提示错误
就这样结束了吗,显然不是,根据提示应该和网络有关,而一开始就提示网络连接问题,恩,我们再搜索一下
找到两处
第二处刚刚已经被我们干掉了,直接去第一处
[Asm] 纯文本查看 复制代码
00412DE3 > \6A 00 push 0x0 上面有一个jnz跳到这
00412DE5 . 6A 00 push 0x0
00412DE7 . 6A 00 push 0x0
00412DE9 . 68 01030080 push 0x80000301
00412DEE . 6A 00 push 0x0
00412DF0 . 68 00000000 push 0x0
00412DF5 . 68 04000080 push 0x80000004
00412DFA . 6A 00 push 0x0
00412DFC . 68 FC005600 push 爱宝贝起.005600FC ; 网络连接失败,请检查网络是否链接
00412E01 . 68 03000000 push 0x3
00412E06 . BB 70BC4400 mov ebx,爱宝贝起.0044BC70
00412E0B . E8 624B0300 call 爱宝贝起.00447972
[Asm] 纯文本查看 复制代码 00412CE8 . E8 734C0300 call 爱宝贝起.00447960
00412CED . 83C4 04 add esp,0x4
00412CF0 > 837D F0 01 cmp dword ptr ss:[ebp-0x10],0x1
00412CF4 . 0F85 E9000000 jnz 爱宝贝起.00412DE3 就是这个jnz,直接nop掉
00412CFA . E8 82300000 call 爱宝贝起.00415D81
保存看看
变成提示更新了,没网络错误,先不管他,点否
看看功能
一点问题没有,到这就可以了,那个提示更新有兴趣的破软件的时候自己试试,很简单。
之前一直没空,现在可以好好学一下破解了,大伙可以一起交流交流。 | 
[复制链接]
发表于 2017-7-18 13:42
|
发表于 2017-7-18 15:03
发表于 2017-7-18 23:20
