首页
社区
课程
招聘
[原创]DOTNET动态调试破解Spoon,及MSI安装包文件替换技术
发表于: 2011-9-25 00:05 67988

[原创]DOTNET动态调试破解Spoon,及MSI安装包文件替换技术

2011-9-25 00:05
67988
收藏
免费 6
支持
分享
最新回复 (63)
雪    币: 504
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
26
是的,這個就是會釋放文件的,但是,如果注意壓縮選項,不會這樣產生。

我是自己寫了個解壓幾,秒殺
2011-10-22 00:06
0
雪    币: 136
活跃值: (429)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
27
NET的文章,真的不错
2011-11-2 09:24
0
雪    币: 188
活跃值: (32)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
28
很好的思路,以后可以按照这个对方.net程序了。
2011-11-7 09:45
0
雪    币: 149
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
29
首先可以利用NETUNPACK获得DOTNET的Assembly文件,而可以利用Ollydbg来获得非托管文件。早在XenoCode时代,网上就有了视频教程。获得脱壳的文件后,我们将使用一些其他的工具来替代传统的Reflector进行追踪。


今天用工具Dotnet_Dumper对spoon脱出一大堆dump1.dll dump2.dll  dump***.dll 和 spoon.exe Spoon.Common.Net.dll 等文件,发现spoon.exe图标显示正常,用lidasm 和 ilasm能反编译成功
Method Implementations (total): 7
Resolving local member refs: 0 -> 0 defs, 0 refs, 0 unresolved
Writing PE file
Operation completed successfully

但是运行后出现系统异常的错误
EventType : clr20r3     P1 : spoon.exe     P2 : 9.4.1860.0     P3 : 4ebdec51
P4 : studio     P5 : 9.4.1860.0     P6 : 4ebdec51     P7 : 201     P8 : 12   
PEVerify.exe "C:\Program Files\Spoon\Studio 2011\Dumps\Studio.exe" /hresult /verbose /nologo

[IL]: Error: [C:\Program Files\Spoon\Studio 2011\Dumps\Studio.exe : Xenocode.Postbuild.Editor.Wizard.Start.x6b2c59c753f7c208::ToNext][mdToken=0x60001fc]  [HRESULT 0x80070002] - 系统找不到指定的文件。
(Error: 0x80070002)
[IL]: Error: [C:\Program Files\Spoon\Studio 2011\Dumps\Studio.exe : Xenocode.Postbuild.Editor.Wizard.GenericPrefab.x941e97224885a2f0::get_x40d59bd216d76cdc][mdToken=0x60001fd]  [HRESULT 0x80070002] - 系统找不到指定的文件。
(Error: 0x80070002)
[IL]: Error: [C:\Program Files\Spoon\Studio 2011\Dumps\Studio.exe : Xenocode.Postbuild.Editor.Wizard.GenericPrefab.x941e97224885a2f0::set_x40d59bd216d76cdc][mdToken=0x60001fe]  [HRESULT 0x80070002] - 系统找不到指定的文件。
(Error: 0x80070002)
P9 : system.exception

请大家帮忙看看下步怎么做
2011-11-12 11:55
0
雪    币: 60
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
30
破解后的spoon安装程序,可以发上来不
2011-11-15 15:40
0
雪    币: 504
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
31
發上來?你知道多大嗎?
2011-11-15 19:39
0
雪    币: 386
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
32
很牛啊。。。。
2011-11-15 21:15
0
雪    币: 807
活跃值: (2353)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
33
这个软件的破解没有那么困难,让我们自力更生吧。
    Spoon的解包本来应该是软件破解必须的步骤,可是偶等菜鸟解不了,也没有人肯教咱们。那么,不解包是否就不能破解了呢?非也!
    让我们做个实验,用Spoon把几个文件打包,然后找一个十六进制编辑器(例如:010Editor),打开它,通过对比,发现包内那几个文件仍然保持了原始映像,也就是说,文件打包未经过任何的加密或压缩。既然是这样,事情就好办了,楼主提到的破解修改应该可以在不解包的状态下完成。
    用十六进制编辑器打开"Studio.exe",从中搜索如下十六进制字节:
    13 30 02 00 7a 00 00 00 15 00 00 11 02 28 5a 00 00 06 2d 02

    我们得到:
6B8:F860h: 13 30 02 00 7A 00 00 00 15 00 00 11 02 28 5A 00  .0..z........(Z.
6B8:F870h: 00 06 2D 02 16 2A 04 73 69 00 00 06 0A 06 02 28  ..-..*.si......(
6B8:F880h: 5A 00 00 06 6F 6C 00 00 06 2D 02 16 2A 06 02 28  Z...ol...-..*..(
6B8:F890h: 67 00 00 06 6F 6E 00 00 06 2D 02 16 2A 05 2C 14  g...on...-..*.,.
6B8:F8A0h: 02 28 4E 00 00 06 72 1F 04 00 70 28 5A 00 00 0A  .(N...r...p(Z...
6B8:F8B0h: 2C 02 17 2A 03 2C 2B 03 0D 16 13 04 2B 1D 09 11  ,..*.,+.....+...
6B8:F8C0h: 04 9A 0B 07 02 28 4E 00 00 06 28 5A 00 00 0A 2C  .?..(N...(Z...,
6B8:F8D0h: 04 17 0C DE 0F 11 04 17 58 13 04 11 04 09 8E 69  ...?...X.....巌
6B8:F8E0h: 32 DC 16 2A 08 2A 00 00 4E 02 02 02 28 67 00 00  2?*.*..N...(g..
6B8:F8F0h: 06 28 07 00 00 06 7D 3D 00 00 04 2A 1E 02 28 61  .(....}=...*..(a
6B8:F900h: 00 00 06 2A 13 30 04 00 86 02 00 00 16 00 00 11  ...*.0..?......
6B8:F910h: 03 6F 41 00 00 0A 26 03 6F 42 00 00 0A 1F 0F 33  .oA...&.oB.....3
6B8:F920h: 01 2A 03 6F 43 00 00 0A 25 0D 39 5B 02 00 00 09  .*.oC...%.9[....
6B8:F930h: 72 27 04 00 70 28 5A 00 00 0A 2D 10 09 72 4D 04  r'..p(Z...-..rM.

修改以下5处
---------------------
6B8:F874h: 16 改为 17
6B8:F88Bh: 16 改为 17
6B8:F89Bh: 16 改为 17
6B8:F8B9h: 16 改为 17
6B8:F8E2h: 16 改为 17
---------------------

然后存盘退出

注册时输入以下信息:

<LicenseCertificate version="2" publisher="Spoon">
    <LicenseType>Retail</LicenseType>
    <LicenseModel>Site</LicenseModel>
    <ProductCode>ALL</ProductCode>
    <LicenseeName>LineZer0</LicenseeName>
    <Signature>
        072d9709b3ae051f277254e74c7f23d1
        bf743fabe91ab892719e17b464f2c2fb
        73abb1101694bb02f4cdae4d4fe2bf24
        a32c39e374f5c14c2d6946fde48a3cea
        f066babd0a391cdfa0a38c67eefccae7
        af02e9edb76e3e22a058a50261a16ad2
        4a690bd49b013fbacf40658a29f69581
        cc15ec379e83b6d2f91aea1a7d275552
    </Signature>
</LicenseCertificate>

    试试看,是不是不难?

    至于安装文件重新打包,按照楼主描述的方法和步骤未能成功实现,新制作的文件包在安装过程中报错,不知道什么原因,可能哪一步没有做到位,有成功的不妨也说一下经验。
2011-11-15 21:40
0
雪    币: 29
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
34
学习学习学习啦
2011-11-16 03:31
0
雪    币: 26
活跃值: (244)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
35
学习.net调试,谢谢分享
2011-11-16 16:27
0
雪    币: 149
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
36
[QUOTE=老伙计;1020104]这个软件的破解没有那么困难,让我们自力更生吧。
     Spoon的解包本来应该是软件破解必须的步骤,可是偶等菜鸟解不了,也没有人肯教咱们。那么,不解包是否就不能破解了呢?非也!
     让我们做个实验,用Spoon把几个文件打包,然后找一个十六进制编辑器(例如:010Editor),打开它,通过对比,发现包内那几个文件仍然保持了原始映像,也就是说,文件打包未经过任何的加密或压缩。既然是这样,事情就好办了,楼主提到的破解修改应该可以在不解包的状态下完成。
     用十六进制编辑器打开"Studio.exe",从中搜索如下十六进制字节:
     13 30 02 00 7a 00 00 00 15 00 00 11 02 28 5a 00 00 06 2d 02

     我们得到:
6B8:F860h: 13 30 02 00 7A 00 00 00 15 00 00 11 02 28 5A 00  .0..z........(Z.
6B8:F870h: 00 06 2D 02 16 2A 04 73 69 00 00 06 0A 06 02 28  ..-..*.si......(
6B8:F880h: 5A 00 00 06 6F 6C 00 00 06 2D 02 16 2A 06 02 28  Z...ol...-..*..(
6B8:F890h: 67 00 00 06 6F 6E 00 00 06 2D 02 16 2A 05 2C 14  g...on...-..*.,.
6B8:F8A0h: 02 28 4E 00 00 06 72 1F 04 00 70 28 5A 00 00 0A  .(N...r...p(Z...
6B8:F8B0h: 2C 02 17 2A 03 2C 2B 03 0D 16 13 04 2B 1D 09 11  ,..*.,+.....+...
6B8:F8C0h: 04 9A 0B 07 02 28 4E 00 00 06 28 5A 00 00 0A 2C  .?..(N...(Z...,
6B8:F8D0h: 04 17 0C DE 0F 11 04 17 58 13 04 11 04 09 8E 69  ...?...X.....巌
6B8:F8E0h: 32 DC 16 2A 08 2A 00 00 4E 02 02 02 28 67 00 00  2?*.*..N...(g..
6B8:F8F0h: 06 28 07 00 00 06 7D 3D 00 00 04 2A 1E 02 28 61  .(....}=...*..(a
6B8:F900h: 00 00 06 2A 13 30 04 00 86 02 00 00 16 00 00 11  ...*.0..?......
6B8:F910h: 03 6F 41 00 00 0A 26 03 6F 42 00 00 0A 1F 0F 33  .oA...&.oB.....3
6B8:F920h: 01 2A 03 6F 43 00 00 0A 25 0D 39 5B 02 00 00 09  .*.oC...%.9[....
6B8:F930h: 72 27 04 00 70 28 5A 00 00 0A 2D 10 09 72 4D 04  r'..p(Z...-..rM.

修改以下5处
---------------------
6B8:F874h: 16 改为 17
6B8:F88Bh: 16 改为 17
6B8:F89Bh: 16 改为 17
6B8:F8B9h: 16 改为 17
6B8:F8E2h: 16 改为 17
---------------------

然后存盘退出

注册时输入以下信息:

<LicenseCertificate version="2" publisher="Spoon">
     <LicenseType>Retail</LicenseType>
     <LicenseModel>Site</LicenseModel>
     <ProductCode>ALL</ProductCode>
     <LicenseeName>LineZer0</LicenseeName>
     <Signature>
         072d9709b3ae051f277254e74c7f23d1
         bf743fabe91ab892719e17b464f2c2fb
         73abb1101694bb02f4cdae4d4fe2bf24
         a32c39e374f5c14c2d6946fde48a3cea
         f066babd0a391cdfa0a38c67eefccae7
         af02e9edb76e3e22a058a50261a16ad2
         4a690bd49b013fbacf40658a29f69581
         cc15ec379e83b6d2f91aea1a7d275552
     </Signature>
</LicenseCertificate>

     试试看,是不是不难?

     至于安装文件重新打包,按照楼主描述的方法和步骤未能成功实现,新制作的文件包在安装过程中报错,不知道什么原因,可能哪一步没有做到位,有成功的不妨也说一下经验。[/QUOTE]

studio version 9.4.1860.0  测试  ok
2011-11-23 18:38
0
雪    币: 93
活跃值: (11)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
37
好样的!离解包不远了。按照这个思路从原始文件中搜索PE文件头,再获取所有文件,没那么难。

我最后遇到的问题和你一样,按照楼主的方法还原打包程序后,安装到一半出错。
应该是cabarc 这个程序版本的问题,不知道楼主用的是哪个版本,反正我找了一圈,就是没有成功。

最后没有办法,使用古老的制作CAB文件的程序makecab,重新压缩成Cab文件后,再按照楼主的方法还原打包程序,就成功了。makecab有很多参数,一定要让它只生成一个cab文件(默认会生成N个分卷)。

希望大家都能成功,放出经验!超过一年没玩破解了,这篇文章又勾起了我的欲望......。
楼主虽然留了一手,但是对我们的DOTNET破解启发还是有帮助的,表示感谢。如今真是巾帼不让须眉了......。男同胞们要加油啊。

ps:我使用的makecab是很古老的版本,可能和现在windows自带的版本不一样,新版没有测试过,测试成功的,请分享经验。
2011-11-24 09:57
0
雪    币: 504
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
38
樓上大俠,好久不見啊
2011-11-24 14:42
0
雪    币: 93
活跃值: (11)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
39
啊哈哈,crackdung说笑了,我哪算什么大侠。
看了看最近的帖子,发现你的技术又NB了很多啊。
我已经彻底Out了,现在很少搞技术研究了,在DOTNET这块,估计能达到你的高度的没几个。羡慕啊
2011-11-24 15:45
0
雪    币: 149
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
40
d:\>makecab_5.1.2600.exe /f c:\list.txt /d maxdisksize=1024000000
Microsoft (R) Cabinet Maker - Version 5.1.2600.5512
Copyright (c) Microsoft Corporation. All rights reserved..

159,275,903 bytes in 3 files
Total files:              3
Bytes before:   159,275,903
Bytes after:     90,568,117
After/Before:            56.86% compression
Time:                    83.83 seconds ( 0 hr  1 min 23.83 sec)
Throughput:            1855.50 Kb/second

xp系统自带makecab_5.1.2600 不成功,提示找不到disk1.cab
d:\>MsiDb.Exe -a c:\disk1.cab -d c:\spoon.msi
2011-11-24 17:07
0
雪    币: 93
活跃值: (11)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
41
是不是忘了先执行删除流文件了?
msidb -k disk1.cab -d Setup-9.4.1860.0.msi

另外建议把所有文件拷贝到同一个目录中,执行命令最好不要带盘符路径,Google上说由于NTFS流会干扰,所以最好将文件放到FAT32磁盘中实验?

如果在win7下试验是否需要“Run AS 管理员”?
我是在虚拟机WinXP + SP3 + FAT32磁盘 下成功的。

唉,条件可真够苛刻......。我还挺幸运。
2011-11-24 17:51
0
雪    币: 807
活跃值: (2353)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
42
    说到解包,当Studio.exe调用ShellExectudeExW执行Studio.com时,采用调包的办法,修改字符串,让它执行cmd.exe,这样,我们就获得了一个Spoon虚拟文件系统内部的cmd窗口,利用新建的cmd窗口,我们来到Studio.exe的安装目录,发现文件已经增多了,不止原来的3个,其中包括Studio.com。这时,键入Studio.com执行,SPoon Studio启动了,说明这个运行环境是没有错的。但是,即便是这样,被解包出来的文件也只是少数,离100 MB相差很远。楼主提到的调试需要用到的那些关键文件都没有解出。通过跟踪发现,Studio.exe运行中hook了LoadLibrary等关键API,加载dll文件的时候,可以不必是外部磁盘文件,估计这就是Studio.exe运行中不用完全解包的原因所在。
2011-11-24 18:39
0
雪    币: 504
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
43
你過獎了,你才是高手啊,有時間教導一下我們這些新手,謝謝
2011-11-24 22:25
0
雪    币: 93
活跃值: (11)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
44
你还算新手??....呃,估计要打击到一批人......

hi cnlcg
我昨天晚上用5.1版的makecab也成功了。我都将他们放到同一个目录操作的,文件已经传至附件,你们也来试一试。我执行的压缩命令是:
makecab /f list.txt /d MaxDiskSize=CDROM
上传的附件:
2011-11-25 08:23
0
雪    币: 282
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
45
好文章,支持,希望各位dotnet大牛能出几篇用DILE动态调试的文章,好让我们这些小菜学习下。。
2011-11-26 15:33
0
雪    币: 123
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
46
牛人,学习下!
2011-12-23 16:06
0
雪    币: 421
活跃值: (83)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
47
膜拜牛人。女中豪杰。
2012-1-9 13:32
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
48
又一篇精品,对net又多了解一点,感谢楼主分享
2012-1-13 13:01
0
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
49
拜读了。新版spoon studio也可以用此法破解成功!
上传的附件:
2012-1-31 15:51
0
雪    币: 243
活跃值: (247)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
50
很久没用这些东西了,楼主很娴熟,佩服。
2012-2-5 15:07
0
游客
登录 | 注册 方可回帖
返回
//