下面是爆破过程,并录了视频,小弟刚学,没人指导,野路子,期待各位大鸟指导!
一、OD载入主执行程序
二、然后让程序跑起来,按F9或者鼠标点三角
三、随便选择一个功能,点击下一步
四、随便选择一个分区,点击下一步
五、让他自己跑几秒,然后点取消,确定
六、随便选择一些要恢复的文件,点击下一步
七、试验下没爆破前的,点击下一步,弹出注册窗口了
八、爆破开始
九、删除恢复文件的路径,点击下一步
十、看到了可爱的信息框,嘿嘿,到OD里面下API断点
注:有插件的可以直接选择菜单栏上的设置API断点→消息框→MessageBoxA
没有的可以在OD下面的命令栏里输入 bp MessageBoxA 下断点 ← 这里采用此方法,注意,API是区分大小写的 输入后要按一下回车哦!
十一、点击界面上的下一步
十二、OK,已经被断下来了!开始单步跟踪了!快捷键:F8
跟到这里
77D5082A E8 2D000000 CALL USER32.MessageBoxExA ← 这里是调用API的,也就是俗称的CALL
他会弹出信息框,回到软件界面,手动点一下信息框,然后他会自动恢复断点
十三、继续单步跟踪
十四、在OD里面写文本了,除非要复制,请仔细看了!
十五、在这里下个断点试下,快捷键:F2
十六、跑起来,快捷键F9,或者点三角,没有路径,没有跳走,跑起来,试下有路径的!
bc MessageBoxA 清除当前API断点
有路径,跳走了,单步跟踪开始 出现了路径过长的消息框,这里仍旧是判断,继续下断跑
0047900A |. /74 2D JE SHORT DRW.00479039
0047900C |. |FF15 283B4800 CALL DWORD PTR DS:[<&USER32.GetActiveWin>; [GetActiveWindow
这里出现了一个API,查查是什么功能的,我英文很差= =!百度也没结果,那就试试不让他跳走看看了
什么提示也没,那在这里下个断,还是让他跳走了
0047904C |. /75 2B JNZ SHORT DRW.00479079
0047904E |. |6A 40 PUSH 40 ; /Arg3 = 00000040
00479050 |. |68 B5EF0000 PUSH 0EFB5 ; |Arg2 = 0000EFB5
00479055 |. |68 B6EF0000 PUSH 0EFB6 ; |Arg1 = 0000EFB6
0047905A |. |E8 81C2FFFF CALL DRW.004752E0 ; \DRW.004752E0
看这里的结构和上面的弹消息框的结构一样,看看他这里不跳走是提示什么!
没有足够的空间 = =!
继续,让他跳走
0047909B |. /75 30 JNZ SHORT DRW.004790CD
0047909D |. |6A 44 PUSH 44 ; /Arg3 = 00000044
0047909F |. |68 B8EF0000 PUSH 0EFB8 ; |Arg2 = 0000EFB8
004790A4 |. |68 B7EF0000 PUSH 0EFB7 ; |Arg1 = 0000EFB7
004790A9 |. |E8 32C2FFFF CALL DRW.004752E0 ; \DRW.004752E0
这里又出现了,继续看看他这里又提示啥=-=
路径不存在= =!
重复,继续,让他跳走
原来是注册界面蹦出来了,点取消关闭它看看!
点取消关闭他又断下来了,说明上面一个条件跳转和是否弹出注册界面有关
程序跑起来,让程序运行到最后一个条件跳转那!还好开始做了断点和注释一些地方,不然又得重复单步跟踪了!
00479342 |. /0F84 BE000000 JE DRW.00479406 ; 这里又蹦了,下个断,做个注释
00479348 |. |8D8D 64FEFFFF LEA ECX,DWORD PTR SS:[EBP-19C]
0047934E |. |E8 2F240000 CALL <JMP.&MFC42.#540>
00479353 |. |C645 FC 04 MOV BYTE PTR SS:[EBP-4],4
00479357 |. |8D8D 68FEFFFF LEA ECX,DWORD PTR SS:[EBP-198]
好像就是这里这个JE条件跳转跳走,然后注册窗口出来的,让他不跳走看看!
出现了个更可爱的框框,应该成功了,试验下!点是 在恢复了,哈哈!
知道是这个00479342 |. /0F84 BE000000 JE DRW.00479406 跳转,那么,开始写JMP了,万恶的JMP,**的JMP,来了,哈哈!
直接JMP 到下一个地址 00479348 或者直接在 00479342 下 更换为NOP
更换为NOP:右键→二进制→使用NOP填充
JMP法:右键→汇编→填写 JMP 00479348
最终:保存修改后的文件 右键,复制到可执行文件,全部改动,全部复制,
在文件窗口下,右键,保存文件,输入文件名,保存
测试:关掉OD啥的,也可以不关!
运行刚才保存出来的文件,按照普通流程走一次,OK,没有弹出注册窗口
OK,正在恢复文件
视频下载:http://u.115.com/file/f2a602c921