首页
社区
课程
招聘
[求助]crack 初学遇到的问题
发表于: 2010-3-20 21:03 6973

[求助]crack 初学遇到的问题

2010-3-20 21:03
6973
我想问个问题,不知道有没有能指导一下的。
我运行一个软件,会出来注册的对话框。
当用OD加载,运行后,直接出来进城遇到问题需要关闭
这个是什么原因?跟软件加壳有关系吗?
用PEID分析一下:显示如下:
Microsoft Visual C# / Basic .NET [Overlay]

PS : 此软件注册需要通过网络服务器。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (22)
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
这个问题 是不是有点难度,不知道有没有看雪的群,这样交流起来方便一点
2010-3-20 21:27
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
深入分析:
7A059EF0    FF15 E011E779   call    dword ptr [<&KERNEL32.DebugBreak>; KERNEL32.DebugBreak

程序进入此点自动中断。
从KERNEL32.DebugBreak字面上理解 是否就是程序上设置了 防止 调试的 功能?
2010-3-20 22:00
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
再往上看:
7A059ED9    FF15 1C12E779   call    dword ptr [<&KERNEL32.IsDebuggerPresent>]  ; KERNEL32.IsDebuggerPresent//禁止调试?
7A059EDF    85C0            test    eax, eax
7A059EE1    74 13           je      short 7A059EF6
7A059EE3    E8 9805E2FF     call    79E7A480
7A059EE8    F6D8            neg     al
7A059EEA    1AC0            sbb     al, al
7A059EEC    FEC0            inc     al
7A059EEE    74 06           je      short 7A059EF6
7A059EF0    FF15 E011E779   call    dword ptr [<&KERNEL32.DebugBreak>]         ; KERNEL32.DebugBreak//调试跳出

按上述程序段理解,改程序采用防调试功能,针对此类程序,应该有对策。有人能告诉我到哪里找资料吗?
2010-3-20 22:16
0
雪    币: 84
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
.net不是解释执行么?可以用od调么?
2010-3-20 23:06
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
回楼上的,就是用OD调的。
我在修改程序的时候犯了错误,修改了半天,发现在kernel32 领空修改。此部分不属于 .exe 的内容。是不能修改的对吧?
但是这里调用了[<&KERNEL32.IsDebuggerPresent>]  程序,我如何才能禁止该程序呢?求解。
2010-3-20 23:14
0
雪    币: 285
活跃值: (16)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
7
论坛里有调试.NET程序的贴 子,自已搜吧,要用其它工具才能解的
2010-3-20 23:30
0
雪    币: 472
活跃值: (52)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
试试StrongOD插件!http://bbs.pediy.com/showthread.php?t=108292
2010-3-20 23:32
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
谢谢前辈指点,我找找看。
2010-3-20 23:45
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
刚尝试了几种hideOD (HIDEOD0.17,0.18,以及magichideollydbg,HideToolz.exe)都未能成功隐藏OD,方法:把设置项全都勾上。其中magichideollydbg报无法写入0000000000E内存错误。被试程序地址:http://www.wg18.net/wg/yxwd.rar
各位前辈如果有能成功隐藏OD的工具,希望分享一下。
这是一个外挂程序,如果担心有木马病毒什么的,就不用下载了。也可以查杀一下。
2010-3-21 00:15
0
雪    币: 290
活跃值: (32)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
这是目前最好的反反调试插件了,功能全开应该可以。
2010-3-21 01:11
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
全开还是不行。最新了解到 我要破的软件 是基于.net编写的,要用.net 工具调试。不过用CLR 一加载 就自动运行了。
to:liuyq
感谢指点,不过我尝试了.net 工具CLR 已加载就自动运行。
找到OLDK的一篇帖子,正准备尝试。下载.net framwork SDK 中
http://bbs.pediy.com/showthread.php?t=68551&highlight=net+%E8%B0%83%E8%AF%95+%E8%AF%95
2010-3-21 15:48
0
雪    币: 75
活跃值: (703)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
13
7A059ED9    FF15 1C12E779   call    dword ptr [<&KERNEL32.IsDebuggerPresent>]  ; KERNEL32.IsDebuggerPresent//禁止调试?
7A059EDF    85C0            test    eax, eax
直接在这里把eax的值改为0,难道不行?
2010-3-21 16:02
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
这是在.dll文件里修改,我在后面强制跳转也不行的。现在正在尝试.net调试方式
2010-3-21 20:29
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
引OLD大哥的:被.net程序蹂躏了两天,关键是没有好的调试代码级工具,动态调试pebinsti,还是反汇编reflector后都不能很好或者很方便定位和调试。。。通过不断努力终于找到好的方法啦!!!

1.首先ildasm程序获得xxx.il文件

2.用ilasm xxx.il /debug命令生成xxx.exe和xxx.pdb文件(由于我对.net不熟,感觉就是以前的map文件)

3.然后运行sdk里的tools里的   clr调试器,选择 文件->打开->xxx.il

4.然后在clr里选择 调试 -> 要调试的程序  选择我们刚才生成的xxx.exe

最后按F5就可以开始在clr里调试那哈哈。完美。堆栈,变量,线程。。。。。。。。。。统统都有完美。破解速度加快10倍。

非常完美了个人觉得,程序和文件是同步的直接可以定位修改了。哈哈。不知道这个是不是第一个写的方法。哈哈。

卡在第二步,哪有ilasm 到 .exe 的讲解?工具找到了。
编译出错:哪有.il 到.exe 的详细点的讲解?
2010-3-21 21:11
0
雪    币: 285
活跃值: (16)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
16
晕,不会要我直接贴链接吧
2010-3-21 22:48
0
雪    币: 285
活跃值: (16)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
17
很明显这是用.net写的软件,破解方法和一般软件就有点区别了,我也遇到过.net写的软件,用OD载入是会跟着运行的
.net软件脱壳后是一般是不用OD破解的,有另一套破解工具,如Reflector、DotNet Helper、Xenocode Fox 2007、ILDASM,反编译过来也不是汇编语言了,应该说破解.net软件是个新的起点,加油!
2010-3-21 22:49
0
雪    币: 285
活跃值: (16)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
18
引用的别人的贴子,慢慢研究吧
2010-3-21 22:50
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
还卡在ilasm 怎么将 .il 编译成.exe 中。我直接用Reflector 试试看。
2010-3-22 17:07
0
雪    币: 285
活跃值: (16)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
20
你拼错了,人家说的是ildasm
2010-3-22 19:11
0
雪    币: 119
活跃值: (10)
能力值: ( LV9,RANK:160 )
在线值:
发帖
回帖
粉丝
21
DOS命令行下这样编译:ilasm /resource=cm.res cm.il
2010-3-22 20:02
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
这个问题 是不是有点难度
2010-3-22 20:24
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
谢谢。编译成功了。确定命令后,发现少了个res文件。反汇编漏了一个。加分给你。
2010-3-23 21:43
0
游客
登录 | 注册 方可回帖
返回
//