能力值:
( LV3,RANK:20 )
2 楼
这是为什么呢?我一直就弄不明白了 一直就是修复不成功
能力值:
( LV2,RANK:10 )
3 楼
Unpack All ASPack 脫用脫殼機就可以脫殼.
有自校驗大小.
能力值:
( LV3,RANK:20 )
4 楼
1、不知兄台的脱壳机是哪个版本的,我下载的都不好用,可否上传一试,谢谢先
2、我更喜欢是手动来脱壳,OD DUMP后再用IM来修不好用的这个问题我想解决它,如果兄台有见解望不吝赐教
3、这个软件还有一个有意思的现象,就是同一个安装包我在家里的机器安装的时候是未注册版的,可是在单位里安装就赫然变成了已注册版了,而我也确信我单位的电脑里没有关于这个软件的任何注册文件。所以我很想知道这个软件如何破解其注册机制,如果兄台有高见,希望交流
谢谢大家关注,期待好消息
能力值:
( LV2,RANK:10 )
5 楼
能力值:
( LV3,RANK:20 )
6 楼
[QUOTE=芳草碧连;779808]无效指针剪掉即可
出错是因为有自校验 帮你脱了个 破解自己去看……
unpacked.rar[/QUOTE]
谢谢你的帮忙,其实我们脱壳的方法可能不同,但是结果大致都一样的。
看来现在问题的关键是如何进行破解了
话说回来,如果这个程序不能启动,看不到界面又如何破解呢? 所以我觉得还是在壳这一步没有处理清楚,那个无效指针不是简单地去掉就可以的
再者,我似乎觉察到一个事实:我家里的机器的内存小得可以,256M的,所以这个软件的就变得有用途了;而单位里的电脑是2个G和8个G的,用这个软件在一定意义上讲是没有意义的,可似乎这个软件似乎觉得自己在这种电脑面前没有太大的作用,于是就“自动”把未注册变成了已注册。 我先后在大内存的机器上试了,都是已注册。
不知哪个高人可以把这个程序的关键部分逆向,我觉得我的想法应该是对的,只中苦于能力有限,不能证实。
能力值:
( LV2,RANK:10 )
7 楼
你不就是要个crack版吗 给你
http://www.rrgod.com/post/439.html
能力值:
( LV3,RANK:20 )
8 楼
呵,如果我就是想要一个破解版式的话,那我早就有了,何必再问大家呢。
我只是想学习这个软件怎么个逻辑过程,毕竟我现在看到的只是现象。
谢谢你的帮忙,请不要误解我。
能力值:
( LV3,RANK:20 )
9 楼
004D70B1 83C4 04 ADD ESP,4
004D70B4 817D F4 5034030>CMP DWORD PTR SS:[EBP-C],33450 ; 文件大小校验
下面的jle改成jmp跳过大小校验,不然会删掉main.dat文件。
004D657F E8 F52B0000 CALL yhzj.004D9179
004D6584 83C4 10 ADD ESP,10
004D6587 8945 CC MOV DWORD PTR SS:[EBP-34],EAX
004D658A DB45 CC FILD DWORD PTR SS:[EBP-34]
004D658D DD5D CC FSTP QWORD PTR SS:[EBP-34]
004D6590 DD45 F8 FLD QWORD PTR SS:[EBP-8]
004D6593 DC65 CC FSUB QWORD PTR SS:[EBP-34]
004D6596 D9E4 FTST
004D6598 DFE0 FSTSW AX
004D659A F6C4 01 TEST AH,1
004D659D 74 02 JE SHORT yhzj.004D65A1
004D659F D9E0 FCHS
004D65A1 DC1D 92F94A00 FCOMP QWORD PTR DS:[4AF992]
004D65A7 DFE0 FSTSW AX
004D65A9 F6C4 41 TEST AH,41
004D65AC 0F84 CD000000 JE yhzj.004D667F ; 关键跳转
004D65B2 C705 CC043101 0>MOV DWORD PTR DS:[13104CC],1
004D65BC B8 9AF94A00 MOV EAX,yhzj.004AF99A ; ASCII "D2D1D7A2B2E1B0E6B1BE5B526567697374657265645D"
004D65C1 8945 FC MOV DWORD PTR SS:[EBP-4],EAX
004D65C4 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4]
004D65C7 50 PUSH EAX
没有仔细分析,都是浮点指令。把je去掉就直接注册了。注册码以ASCII码16进制方式保存在reg.dat中
易语言调试起来像简单版虚拟机
能力值:
( LV3,RANK:20 )
10 楼
谢谢您的热心帮助,我正在认真寻找您的方法步骤
到这时有一个问题:您是带壳调试的吗? 还是脱壳过调试的?
因为我脱过后的程序不能运行,坛子里的朋友说是因为自校验,且正如我图片上显示的,一直有一个无效的函数在作祟,前几楼的朋友帮忙解释说这也是因为自检验造成的……我想问是这样吗?
渴望您的完整过程
另外我真的怀疑这个软件在装到大内存的机器里会自动变成已注册版的事实,不知道您调试期间有没有见到相关的代码?
能力值:
( LV3,RANK:20 )
11 楼
直接用的7楼的脱壳程序,已经跳过了一个检查,但是在注册的时候还有另一个检查在上帖中提到了。
1.5G下测试没有变成注册版,还是需要手动注册的。无效指针剪掉就可以了。
能力值:
( LV3,RANK:20 )
12 楼
不知道兄台用得是哪个断点
我一开始用 bp FindFirstFileA F9一跑就飞
于是bp OpenFile F9一跑倒是没有飞,首先看到的是SkinH_EL.dll的调用,可是F8下来,一下就飞了
33450这个转成10进制数是210000 但原文件的大小是200192 也就是说如果是原文件夹在运行的话就不会进行自校验,可是脱壳后的文件大小是933888,也就是说jle这句下面的肯定会被运行了,大小自校验,我是这样理解的,关键是:
004D70B4 817D F4 5034030>CMP DWORD PTR SS:[EBP-C],33450 这句如何确定是文件校验大小的语句?虽然在易语言中这句的句式很像,呵呵。
同时我仔细比较了一下大内存机器和小内存机器在安装完软件后的文件数目上的异同,我发现大内存的机器里不会有reg.dat这个文件出现,而小内存的机器安完后就有这个文件。 我现在这台机器里这个文件里的内容是:3132333435363738
能力值:
( LV3,RANK:20 )
13 楼
那个汇编就是用来比较文件大小的,文件大小在之前的代码中计算完了。
reg.dat存放的是ASCII-HEX形式的注册码,你在程序中输一下注册码就会出现了。
能力值:
( LV3,RANK:20 )
14 楼
请问你用的是哪个断点? 我试遍了我会的数个断点都不行
bp CreateFileA 创建或打开文件 (32位)
bp OpenFile 打开文件 (32位)
bp ReadFile 读文件 (32位)
bp WriteFile 写文件 (32位)
bp GetModuleFileNameA
bp fileopen
bp FindFirstFileA
bp ReadFile
能力值:
( LV3,RANK:20 )
15 楼
直接下MessageBoxW的断点,往上翻就能找到了。
获得文件大小用GetFileSize
能力值:
( LV2,RANK:10 )
16 楼
这个壳今天我也是ESP定律脱了,但程序可以运行额,莫非你那个和工具有关。。。
能力值:
( LV3,RANK:20 )
17 楼
怎么可能呢,你脱完壳后有运行界面吗?上个图 这有自校验的
能力值:
( LV3,RANK:20 )
18 楼
这个界面是脱壳的软件刚刚载入OD的画面,我在这里下了一个断点,就是红色框的部分, 可是F9一下程序就飞了,兄台是怎么调的呢?
上传的附件:
能力值:
( LV3,RANK:20 )
19 楼
脱壳后这个程序的入口处就有一个ExitProcess函数, 我无论是F2在ExitCode上,还是在ExitProcess上,只要一F9程序就飞了 为什么呢? 难道第一个CALL我就要F7?
可是F7后程序就来到了ExitProcess函数的下方,难道我在这个时候下MessageBoxW断点?
这个软件好奇怪,用7楼的程序双击运行可以,如果用OD载入再F9运行就飞了,是不是防OD检测了?
能力值:
( LV3,RANK:20 )
20 楼
这个程序有反调试,要过掉。
文件大小校验是在点击注册的时候才进行的,正常运行时不会校验。
能力值:
( LV3,RANK:20 )
21 楼
如何过掉反调试呢?我HideOD也没有用哇?
我的QQ:123037149 向您学习 或者您能不能写一篇破文呢?
能力值:
( LV3,RANK:20 )
22 楼
草草写了一个http://bbs.pediy.com/showthread.php?p=783628#post783628
欢迎挑错
能力值:
( LV3,RANK:20 )
23 楼
我看了一下你这个破解后的,有两个问题:
1、你没有去年这个软件的反调试
2、两处自校验你只去掉了第一处
所以,我想问的是,在没有去掉反调试的情况下你是如何找到自校验点的呢?
向您请教
能力值:
( LV2,RANK:10 )
24 楼
一看就是易语言的东东... 易语言有一个 FF 55 FC 相当于万能断点
能力值:
( LV3,RANK:20 )
25 楼
呵呵,我想他不是这样做的,因为这个反调试没去掉是不可能运行的 确切地说不是这个断点,他可能还有别的断点。只是这位朋友最近不来了 呵呵