[求助]crack 初学遇到的问题-经典问答-看雪-安全社区|安全招聘|kanxue.com

[求助]crack 初学遇到的问题

发表于: 2010-3-20 21:03 6922

[求助]crack 初学遇到的问题

roost

2010-3-20 21:03

6922

我想问个问题，不知道有没有能指导一下的。
我运行一个软件，会出来注册的对话框。
当用OD加载，运行后，直接出来进城遇到问题需要关闭
这个是什么原因？跟软件加壳有关系吗？
用PEID分析一下：显示如下：
Microsoft Visual C# / Basic .NET [Overlay]

PS : 此软件注册需要通过网络服务器。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・1

免费・0

支持

最新回复 (22)
roost 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	roost 2 楼这个问题是不是有点难度，不知道有没有看雪的群，这样交流起来方便一点 2010-3-20 21:27 0
roost 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	roost 3 楼深入分析： 7A059EF0 FF15 E011E779 call dword ptr [<&KERNEL32.DebugBreak>; KERNEL32.DebugBreak 程序进入此点自动中断。从KERNEL32.DebugBreak字面上理解是否就是程序上设置了防止调试的功能？ 2010-3-20 22:00 0
roost 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	roost 4 楼再往上看： 7A059ED9 FF15 1C12E779 call dword ptr [<&KERNEL32.IsDebuggerPresent>] ; KERNEL32.IsDebuggerPresent//禁止调试？ 7A059EDF 85C0 test eax, eax 7A059EE1 74 13 je short 7A059EF6 7A059EE3 E8 9805E2FF call 79E7A480 7A059EE8 F6D8 neg al 7A059EEA 1AC0 sbb al, al 7A059EEC FEC0 inc al 7A059EEE 74 06 je short 7A059EF6 7A059EF0 FF15 E011E779 call dword ptr [<&KERNEL32.DebugBreak>] ; KERNEL32.DebugBreak//调试跳出按上述程序段理解，改程序采用防调试功能，针对此类程序，应该有对策。有人能告诉我到哪里找资料吗？ 2010-3-20 22:16 0
houzaizai 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	houzaizai 5 楼 .net不是解释执行么？可以用od调么？ 2010-3-20 23:06 0
roost 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	roost 6 楼回楼上的，就是用OD调的。我在修改程序的时候犯了错误，修改了半天，发现在kernel32 领空修改。此部分不属于 .exe 的内容。是不能修改的对吧？但是这里调用了[<&KERNEL32.IsDebuggerPresent>] 程序，我如何才能禁止该程序呢？求解。 2010-3-20 23:14 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 7 楼论坛里有调试.NET程序的贴子，自已搜吧，要用其它工具才能解的 2010-3-20 23:30 0
tyroneking 雪币： 472 活跃值： (52) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 109 粉丝 0 关注私信	tyroneking 1 8 楼试试StrongOD插件！http://bbs.pediy.com/showthread.php?t=108292 2010-3-20 23:32 0
roost 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	roost 9 楼谢谢前辈指点，我找找看。 2010-3-20 23:45 0
roost 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	roost 10 楼刚尝试了几种hideOD （HIDEOD0.17，0.18，以及magichideollydbg,HideToolz.exe）都未能成功隐藏OD，方法：把设置项全都勾上。其中magichideollydbg报无法写入0000000000E内存错误。被试程序地址：http://www.wg18.net/wg/yxwd.rar 各位前辈如果有能成功隐藏OD的工具，希望分享一下。这是一个外挂程序，如果担心有木马病毒什么的，就不用下载了。也可以查杀一下。 2010-3-21 00:15 0
upant 雪币： 290 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 39 粉丝 0 关注私信	upant 11 楼这是目前最好的反反调试插件了，功能全开应该可以。 2010-3-21 01:11 0
roost 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	roost 12 楼全开还是不行。最新了解到我要破的软件是基于.net编写的，要用.net 工具调试。不过用CLR 一加载就自动运行了。 to:liuyq 感谢指点，不过我尝试了.net 工具CLR 已加载就自动运行。找到OLDK的一篇帖子，正准备尝试。下载.net framwork SDK 中 http://bbs.pediy.com/showthread.php?t=68551&highlight=net+%E8%B0%83%E8%AF%95+%E8%AF%95 2010-3-21 15:48 0
skypismire 雪币： 75 活跃值： (618) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 13 楼 7A059ED9 FF15 1C12E779 call dword ptr [<&KERNEL32.IsDebuggerPresent>] ; KERNEL32.IsDebuggerPresent//禁止调试？ 7A059EDF 85C0 test eax, eax 直接在这里把eax的值改为0，难道不行？ 2010-3-21 16:02 0
roost 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	roost 14 楼这是在.dll文件里修改，我在后面强制跳转也不行的。现在正在尝试.net调试方式 2010-3-21 20:29 0
roost 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	roost 15 楼引OLD大哥的：被.net程序蹂躏了两天，关键是没有好的调试代码级工具，动态调试pebinsti,还是反汇编reflector后都不能很好或者很方便定位和调试。。。通过不断努力终于找到好的方法啦!!! 1.首先ildasm程序获得xxx.il文件 2.用ilasm xxx.il /debug命令生成xxx.exe和xxx.pdb文件(由于我对.net不熟，感觉就是以前的map文件) 3.然后运行sdk里的tools里的 clr调试器，选择文件->打开->xxx.il 4.然后在clr里选择调试 -> 要调试的程序选择我们刚才生成的xxx.exe 最后按F5就可以开始在clr里调试那哈哈。完美。堆栈，变量,线程。。。。。。。。。。统统都有完美。破解速度加快10倍。非常完美了个人觉得，程序和文件是同步的直接可以定位修改了。哈哈。不知道这个是不是第一个写的方法。哈哈。卡在第二步，哪有ilasm 到 .exe 的讲解？工具找到了。编译出错：哪有.il 到.exe 的详细点的讲解？ 2010-3-21 21:11 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 16 楼晕，不会要我直接贴链接吧 2010-3-21 22:48 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 17 楼很明显这是用.net写的软件，破解方法和一般软件就有点区别了，我也遇到过.net写的软件，用OD载入是会跟着运行的 .net软件脱壳后是一般是不用OD破解的，有另一套破解工具，如Reflector、DotNet Helper、Xenocode Fox 2007、ILDASM，反编译过来也不是汇编语言了，应该说破解.net软件是个新的起点，加油！ 2010-3-21 22:49 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 18 楼引用的别人的贴子，慢慢研究吧 2010-3-21 22:50 0
roost 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	roost 19 楼还卡在ilasm 怎么将 .il 编译成.exe 中。我直接用Reflector 试试看。 2010-3-22 17:07 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 20 楼你拼错了，人家说的是ildasm 2010-3-22 19:11 0
GoodGavin 雪币： 119 活跃值： (10) 能力值： ( LV9，RANK：160 ) 在线值：发帖 20 回帖 291 粉丝 0 关注私信	GoodGavin 3 21 楼 DOS命令行下这样编译：ilasm /resource=cm.res cm.il 2010-3-22 20:02 0
njke 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	njke 22 楼这个问题是不是有点难度 2010-3-22 20:24 0
roost 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	roost 23 楼谢谢。编译成功了。确定命令后，发现少了个res文件。反汇编漏了一个。加分给你。 2010-3-23 21:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

roost

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
roost 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	roost 2 楼这个问题是不是有点难度，不知道有没有看雪的群，这样交流起来方便一点 2010-3-20 21:27 0
roost 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	roost 3 楼深入分析： 7A059EF0 FF15 E011E779 call dword ptr [<&KERNEL32.DebugBreak>; KERNEL32.DebugBreak 程序进入此点自动中断。从KERNEL32.DebugBreak字面上理解是否就是程序上设置了防止调试的功能？ 2010-3-20 22:00 0
roost 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	roost 4 楼再往上看： 7A059ED9 FF15 1C12E779 call dword ptr [<&KERNEL32.IsDebuggerPresent>] ; KERNEL32.IsDebuggerPresent//禁止调试？ 7A059EDF 85C0 test eax, eax 7A059EE1 74 13 je short 7A059EF6 7A059EE3 E8 9805E2FF call 79E7A480 7A059EE8 F6D8 neg al 7A059EEA 1AC0 sbb al, al 7A059EEC FEC0 inc al 7A059EEE 74 06 je short 7A059EF6 7A059EF0 FF15 E011E779 call dword ptr [<&KERNEL32.DebugBreak>] ; KERNEL32.DebugBreak//调试跳出按上述程序段理解，改程序采用防调试功能，针对此类程序，应该有对策。有人能告诉我到哪里找资料吗？ 2010-3-20 22:16 0
houzaizai 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	houzaizai 5 楼 .net不是解释执行么？可以用od调么？ 2010-3-20 23:06 0
roost 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	roost 6 楼回楼上的，就是用OD调的。我在修改程序的时候犯了错误，修改了半天，发现在kernel32 领空修改。此部分不属于 .exe 的内容。是不能修改的对吧？但是这里调用了[<&KERNEL32.IsDebuggerPresent>] 程序，我如何才能禁止该程序呢？求解。 2010-3-20 23:14 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 7 楼论坛里有调试.NET程序的贴子，自已搜吧，要用其它工具才能解的 2010-3-20 23:30 0
tyroneking 雪币： 472 活跃值： (52) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 109 粉丝 0 关注私信	tyroneking 1 8 楼试试StrongOD插件！http://bbs.pediy.com/showthread.php?t=108292 2010-3-20 23:32 0
roost 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	roost 9 楼谢谢前辈指点，我找找看。 2010-3-20 23:45 0
roost 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	roost 10 楼刚尝试了几种hideOD （HIDEOD0.17，0.18，以及magichideollydbg,HideToolz.exe）都未能成功隐藏OD，方法：把设置项全都勾上。其中magichideollydbg报无法写入0000000000E内存错误。被试程序地址：http://www.wg18.net/wg/yxwd.rar 各位前辈如果有能成功隐藏OD的工具，希望分享一下。这是一个外挂程序，如果担心有木马病毒什么的，就不用下载了。也可以查杀一下。 2010-3-21 00:15 0
upant 雪币： 290 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 39 粉丝 0 关注私信	upant 11 楼这是目前最好的反反调试插件了，功能全开应该可以。 2010-3-21 01:11 0
roost 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	roost 12 楼全开还是不行。最新了解到我要破的软件是基于.net编写的，要用.net 工具调试。不过用CLR 一加载就自动运行了。 to:liuyq 感谢指点，不过我尝试了.net 工具CLR 已加载就自动运行。找到OLDK的一篇帖子，正准备尝试。下载.net framwork SDK 中 http://bbs.pediy.com/showthread.php?t=68551&highlight=net+%E8%B0%83%E8%AF%95+%E8%AF%95 2010-3-21 15:48 0
skypismire 雪币： 75 活跃值： (618) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 13 楼 7A059ED9 FF15 1C12E779 call dword ptr [<&KERNEL32.IsDebuggerPresent>] ; KERNEL32.IsDebuggerPresent//禁止调试？ 7A059EDF 85C0 test eax, eax 直接在这里把eax的值改为0，难道不行？ 2010-3-21 16:02 0
roost 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	roost 14 楼这是在.dll文件里修改，我在后面强制跳转也不行的。现在正在尝试.net调试方式 2010-3-21 20:29 0
roost 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	roost 15 楼引OLD大哥的：被.net程序蹂躏了两天，关键是没有好的调试代码级工具，动态调试pebinsti,还是反汇编reflector后都不能很好或者很方便定位和调试。。。通过不断努力终于找到好的方法啦!!! 1.首先ildasm程序获得xxx.il文件 2.用ilasm xxx.il /debug命令生成xxx.exe和xxx.pdb文件(由于我对.net不熟，感觉就是以前的map文件) 3.然后运行sdk里的tools里的 clr调试器，选择文件->打开->xxx.il 4.然后在clr里选择调试 -> 要调试的程序选择我们刚才生成的xxx.exe 最后按F5就可以开始在clr里调试那哈哈。完美。堆栈，变量,线程。。。。。。。。。。统统都有完美。破解速度加快10倍。非常完美了个人觉得，程序和文件是同步的直接可以定位修改了。哈哈。不知道这个是不是第一个写的方法。哈哈。卡在第二步，哪有ilasm 到 .exe 的讲解？工具找到了。编译出错：哪有.il 到.exe 的详细点的讲解？ 2010-3-21 21:11 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 16 楼晕，不会要我直接贴链接吧 2010-3-21 22:48 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 17 楼很明显这是用.net写的软件，破解方法和一般软件就有点区别了，我也遇到过.net写的软件，用OD载入是会跟着运行的 .net软件脱壳后是一般是不用OD破解的，有另一套破解工具，如Reflector、DotNet Helper、Xenocode Fox 2007、ILDASM，反编译过来也不是汇编语言了，应该说破解.net软件是个新的起点，加油！ 2010-3-21 22:49 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 18 楼引用的别人的贴子，慢慢研究吧 2010-3-21 22:50 0
roost 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	roost 19 楼还卡在ilasm 怎么将 .il 编译成.exe 中。我直接用Reflector 试试看。 2010-3-22 17:07 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 20 楼你拼错了，人家说的是ildasm 2010-3-22 19:11 0
GoodGavin 雪币： 119 活跃值： (10) 能力值： ( LV9，RANK：160 ) 在线值：发帖 20 回帖 291 粉丝 0 关注私信	GoodGavin 3 21 楼 DOS命令行下这样编译：ilasm /resource=cm.res cm.il 2010-3-22 20:02 0
njke 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	njke 22 楼这个问题是不是有点难度 2010-3-22 20:24 0
roost 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	roost 23 楼谢谢。编译成功了。确定命令后，发现少了个res文件。反汇编漏了一个。加分给你。 2010-3-23 21:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复