【破文标题】破掉《楚汉棋缘x.xx》只运行一个实例
【破文作者】noNaMe-mOnk(无名和尚)
【作者性别】男
【作者主页】
【作者邮箱】
【所属组织】
【软件名称】《楚汉棋缘x.xx》
【下载地址】自己找
【破解工具】win xp,od1.10(noNaMe-mOnk修改版),aspackdie,peid,winhex
【保护方式】aspack
【软件限制】
【破解难度】中等
----------------------------------------------------
软件介绍:
提高象棋技术的好帮手,对我来说是找自卑的东西
----------------------------------------------------
破解声名:目的有两个:1,提高破解技术;2,提高象棋水平
----------------------------------------------------
【破解分析】
拿到手里就是个破解版(crsky破解版),不过没有去掉只运行一个实例限制,闲来无事,好久没动刀了,顺便牛刀小试一把
开工:
peid察壳,aspack2.12,懒得动手脱,用aspackdie脱之
再察,c++ 1999.
不管,从精华6中刚学到点技术,现学现卖。
引用:********************************bellkwong的文章*************
一个程序只运行一个实例(或限制实例数量)通常可以采用如下方法:
1)FindWindow 之<窗口标题>
通过查找窗口标题来确定上一实例是否正在运行,不适合窗口标题动态变化的程序。
2)FindWindow 之<任务栏按纽标题>
通过查找任务栏按纽标题来确定上一实例是否正在运行,不适合按纽标题动态变化的程序(如Winamp)。通常情况下,该方法还是优先考虑,因为按纽标题是一般是固定的。
3)Window Property
将某个数据(可以是字符串或句柄)通过SetProp加入到指定窗口的property list,程序运行时枚举窗口并检查该数据是否存在来确定上一实例是否正在运行。
4)全局Atom
将某个特定字符串通过GlobalAddAtom加入全局原子表(Global Atom Table),程序运行时检查该串是否存在来确定上一实例是否正在运行。该方法有个局限,就是程序终止前必须显式调用GlobalDeleteAtom来释放atom,否则该atom不会自动释放,如果程序运行时意外终结了,那么下一个实例就无法正常执行。早期版本的realplayer就存在这个现象,不知道是不是采用了该方法。
5)Mutex/Event/Semaphore
通过互斥对象/信号量/事件等线程同步对象来确定实例是否存在,在NT下要注意权限问题(SID)。
6)DLL全局共享区域
VC下的DLL工程可以通过下面代码来建立一个进程间共享数据段:
#pragma data_seg(".share")
//shared for all processes that attach to the dll
DWORD dllgs_dwRunCount = 1; //一定要在这里对变量进行初始化,否则工夫白做!
#pragma data_seg()
#pragma comment(linker,"/section:.share,rws")
导出3个函数,分别为:
DWORD IncRunCount(void); //运行计数器加1,返回计数器结果
DWORD DecRunCount(void); //运行计数器减1,返回计数器结果
DWORD GetRunCount(void); //取当前运行计数器
由于DLL全局共享段在映射到各个进程地址空间时仅会被初始化一次,并且是在首次被windows加载时,所以利用该共享段数据就能对程序实例进行可靠计数。
7)内存映射文件(File Mapping)
通过把程序实例信息(如窗口句柄、计数器等等)放置到跨进程的内存映射文件,同样可以控制程序实例运行的数量,道理与DLL全局共享区域类似。
******************************************************************
从最简单的入手,找到findwindow,下断
00415CFF 8D8D 04FFFFFF LEA ECX,DWORD PTR SS:[EBP-FC]
00415D05 51 PUSH ECX
00415D06 6A 00 PUSH 0
00415D08 |. E8 C7740C00 CALL <JMP.&USER32.FindWindowA> ; \FindWindowA***********断在这里(@)
00415D0D |. 8BF8 MOV EDI,EAX
00415D0F |. A1 8C9A5000 MOV EAX,DWORD PTR DS:[509A8C]
00415D14 |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
00415D16 |. 8B55 FC MOV EDX,DWORD PTR SS:[EBP-4]
00415D19 |. E8 8E8C0600 CALL unpacked.0047E9AC
00415D1E |. 85FF TEST EDI,EDI
00415D20 74 33 JE SHORT unpacked.00415D55*****关键跳
00415D22 |. 8B0D 8C9A5000 MOV ECX,DWORD PTR DS:[509A8C] ; unpacked.0054017C
00415D28 |. 8B01 MOV EAX,DWORD PTR DS:[ECX]
断在00415D08时,堆栈中:
0012FCE4 00000000 |Class = 0
0012FCE8 0012FD98 \Title = "楚汉棋缘Vx.xx"
0012FCEC 00C7E3CC
0012FCF0 00C72254
0012FCF4 00C72254
运气来了。
把00415D20 处je改为jmp就完事大吉了。想的美,脱壳后原来的限制都有了。只有对加壳的源程序打补丁了,载入加壳程序,在00415D20处下内存写入断点。go……
00702180 F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI]*********断在这里*********
00702182 8BC8 MOV ECX,EAX
00702184 83E1 03 AND ECX,3
00702187 F3:A4 REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]
00702189 5E POP ESI
0070218A 68 00800000 PUSH 8000
0070218F 6A 00 PUSH 0
00702191 FFB5 52010000 PUSH DWORD PTR SS:[EBP+152]
00702197 FF95 51050000 CALL DWORD PTR SS:[EBP+551]
0070219D 83C6 08 ADD ESI,8
007021A0 833E 00 CMP DWORD PTR DS:[ESI],0
007021A3 0F85 28040000 JNZ 楚汉棋缘.007020c7******发现到这里时跳了,就用它了,找一段空白跳过去,打补丁,我打在7025d1处
007021A9 68 00800000 PUSH 8000
007021AE 6A 00 PUSH 0
007021B0 FFB5 56010000 PUSH DWORD PTR SS:[EBP+156]
007021B6 FF95 51050000 CALL DWORD PTR SS:[EBP+551]
007021BC 8B9D 31050000 MOV EBX,DWORD PTR SS:[EBP+531]
补丁:
007025D1 C605 205D4100 EB MOV BYTE PTR DS:[415D20],0EB
007025D8 ^E9 EAFAFFFF JMP 楚汉棋缘.007020C7
打好之后,运行一下,完事大吉了。
收工:-)
----------------------------------------------------
【总结】
打补丁时很幸运,只用了一层SMC.
----------------------------------------------------
[课程]Linux pwn 探索篇!
