呃, 怎么说了,非RMB玩家玩传奇私服,然后敌人都用挂,再好的装备都打不过垃圾装备,动了自己破解外挂的念头。相中了一个挂。开始学习破解。
此挂运行方式:
1:先运行一个可执行文件,(此时观察任务管理器,会看到它的运行)
2:这个软件会复制(也不懂是不是)本身并且文件名前两位英文不变,后两位英文随机值。(例:原文件名:aacc.exe,复制出来的是aaeh.exe,然后再运行aaeh.exe,又会出现aayd.exe,反正是继续循环下去aa**.exe了。)
3:接着,任务管理器里会出现一个cmd.exe进程,应该是把先运行的程序给del掉然后并删除本体。
也就是说,这个程序会在运行时复制本身后改程序名并运行,同时发送一个DOS命令结束本体。然后这个被复制的挂就打开窗口了。
我下载了小生我怕怕破解工具包2012.2.6元宵节特别版
用里面的peid0.95查壳是
Enigma Protector 1.1X-1.3X -> Sukhov Vladimir & Serge N. Markin *
0.94不懂为什么在我电脑上运行不了,不过我以前下的可以用,不过什么也查不到.
FI查不了。
用EnigmaInfo 0.11版查出现如下:
This file probably don't protected with Enigma
Exeinfo PE 0.0.2.1显示如下:
MOD.exe - EP code like Delphi/C++ but different sections struct.
-------------
然后就是用各个版本的OD载入.
有的版本的OD,直接第一个shift+F9就飞了,有的版本的OD,呃怎么说呢,一载入这挂,居然会提示另一个外挂的名字,提示不能调试,引发了我的无限幻想:估计这个挂也是破解了别人的挂,然后加工一下,换了个网络验证地址,换了LOGO,然后换了个壳就拿来卖了。感觉很是无语。
发贴就是求破解思路,
像这种会复制自身,然后再删除自身,运行复制出来的新文件的程序,是用打开还是用附加好呢?
他发送的那个隐藏DOS窗口的DOS命令,要如何才能查看到呢?
最后就是这个壳(虽然到现在还是不知道是不是这个壳),貌似都没有相关的教程,而且,外挂这东西,经常更新的,也从度娘的一些文章上看到,估计是更高版本的壳,里面的跳转NN多。
用OD打开,代码如下:
7C92120F C3 retn
7C921210 8BFF mov edi,edi
7C921212 > CC int3
7C921213 C3 retn
7C921214 8BFF mov edi,edi
7C921216 8B4424 04 mov eax,dword ptr ss:[esp+0x4]
7C92121A CC int3
7C92121B C2 0400 retn 0x4
7C92121E > 64:A1 18000000 mov eax,dword ptr fs:[0x18]
7C921224 C3 retn
7C921225 > 57 push edi
7C921226 8B7C24 0C mov edi,dword ptr ss:[esp+0xC]
7C92122A 8B5424 08 mov edx,dword ptr ss:[esp+0x8]
7C92122E C702 00000000 mov dword ptr ds:[edx],0x0
7C921234 897A 04 mov dword ptr ds:[edx+0x4],edi
7C921237 0BFF or edi,edi
直接shift+F9一次,会来到一个地方,左下角提示到了程序入口点,再shift+f9就直接退出了。
目前在看黑鹰初级教程,遇到问题:OEP靠什么确定,除了类似各语言的代码特征,还有没有别的方法的?像我说的这个,第一次shift+F9后看到的就像Delphi的。。。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
