记一次火凤安装制作(打包)的破解以及去捆绑过程

s1163262671

这个程序没壳，VC的
首先加载OD，破解比较简单
搜索字符串，搜索VIP

[Asm] 纯文本查看 复制代码

004183F0  /.  55            push ebp
004183F1  |.  8BEC          mov ebp,esp
004183F3  |.  6A FF         push -0x1
004183F5  |.  68 98914500   push HofoSetu.00459198
004183FA  |.  64:A1 0000000>mov eax,dword ptr fs:[0]
00418400  |.  50            push eax
00418401  |.  83EC 08       sub esp,0x8
00418404  |.  A1 80C04600   mov eax,dword ptr ds:[0x46C080]
00418409  |.  33C5          xor eax,ebp
0041840B  |.  50            push eax
0041840C  |.  8D45 F4       lea eax,[local.3]
0041840F  |.  64:A3 0000000>mov dword ptr fs:[0],eax
00418415  |.  894D EC       mov [local.5],ecx
00418418  |.  8D4D F0       lea ecx,[local.4]
0041841B  |.  E8 20DAFEFF   call HofoSetu.00405E40
00418420  |.  C745 FC 00000>mov [local.1],0x0
00418427  |.  8B45 EC       mov eax,[local.5]
0041842A  |.  83B8 C0030000>cmp dword ptr ds:[eax+0x3C0],0x0
00418431  |.  74 5D         je short HofoSetu.00418490
00418433  |.  8B4D EC       mov ecx,[local.5]
00418436  |.  8B91 C0030000 mov edx,dword ptr ds:[ecx+0x3C0]
0041843C  |.  0FB602        movzx eax,byte ptr ds:[edx]
0041843F  |.  85C0          test eax,eax
00418441  |.  74 4D         je short HofoSetu.00418490
00418443  |.  68 0CFE4500   push HofoSetu.0045FE0C                   ;  尊敬的用户，您已经是VIP用户，尊享全部功能！
00418448  |.  8D4D F0       lea ecx,[local.4]
0041844B  |.  E8 D0DAFEFF   call HofoSetu.00405F20
00418450  |.  6A 00         push 0x0
00418452  |.  6A 00         push 0x0
00418454  |.  6A 00         push 0x0
00418456  |.  68 FE000000   push 0xFE
0041845B  |.  68 06693000   push 0x306906
00418460  |.  6A 64         push 0x64
00418462  |.  68 18010000   push 0x118
00418467  |.  6A 32         push 0x32
00418469  |.  6A 14         push 0x14
0041846B  |.  8D4D F0       lea ecx,[local.4]
0041846E  |.  E8 FDDEFEFF   call HofoSetu.00406370
00418473  |.  50            push eax
00418474  |.  8B4D EC       mov ecx,[local.5]
00418477  |.  8B91 BC030000 mov edx,dword ptr ds:[ecx+0x3BC]
0041847D  |.  52            push edx
0041847E  |.  8B45 08       mov eax,[arg.1]
00418481  |.  50            push eax
00418482  |.  E8 B98CFEFF   call HofoSetu.00401140
00418487  |.  8BC8          mov ecx,eax
00418489  |.  E8 A2920300   call HofoSetu.CNsImage::DrawString
0041848E  |.  EB 48         jmp short HofoSetu.004184D8
00418490  |>  68 3CFE4500   push HofoSetu.0045FE3C                   ;  抱歉，此功能为VIP用户专享！
00418495  |.  8D4D F0       lea ecx,[local.4]
00418498  |.  E8 83DAFEFF   call HofoSetu.00405F20
0041849D  |.  6A 00         push 0x0
0041849F  |.  6A 00         push 0x0

看到这个跳转跳过了VIP
00418441  |. /74 4D         je short HofoSetu.00418490

运行在此时
0041843C  |.  0FB602        movzx eax,byte ptr ds:[edx]

edx=0012CE34
所以0012CE34就是判断是否跳转的关键点了
下断点

发现写入数据处


可以看到004141EB  |.  E8 100F0400   call HofoSetu.CNsCode::CheckCode
这个CheckCode函数。跟进
直接修改断首
00455100 >    B8 01000000   mov eax,0x1
00455105      C3            retn



至此就破解完成了，所有功能都可以正常使用，但是在生成出来的安装器打开后，会后台静默下载安装qq浏览器
模板处于C:\Documents and Settings\Administrator\Local Settings\Temp\nsdemo.exe
所有安装包都是基于模板的，所以断定这个nsdemo有问题



这里我用IDA pro来加载，分析下静态代码。
可以发现很多函数是关于下载，开进程的


OD载入，随便跟一个
0042F9A0 >/$  55            push ebp                                             ;  update
ebp=0012FFF0
本地调用来自 0042FFA3, 0043000E
nsdemo.CNsUpdate::VerifyFile

是个验证文件的函数。查看调用处，
这里有HTTP下载的函数，一看就不是什么正经功能。
向上回溯

发现一处jmp可以跳过所有静默安装的步骤。
只不过这个jmp被跳了，我这里nop填充下让jmp有效


ok，运行起来，没有偷偷下载，抓包也很干净。没有网络请求
至此破解完成！

原版：
链接: https://pan.baidu.com/s/1cBBAJ8 密码: 4esd

Hmily

建议不要用这个软件，这软件不但有楼主分析安装有一堆推广，而且打包好安装包安装以后的卸载程序还有后门，在卸载软件的时候会推广一堆流氓软件，之前就有人分析过了。

身外事

谢谢分享 破解和暗桩

SuperF

真是学习的好榜样，以后也要学下去捆绑。

疯疯传说

以后也要学下去捆绑

ftmovie

学习了学习了谢谢分享

lw5297590

学习了，不是太会破解。还在慢慢摸索

sczxlsyx

来学习一下，不过确实没看懂。

dujiaoshu666

火凤                想法很好，水平不咋地

汉魂唐风

学习了！以后试一下！