自校验破文写了一半被卡住了，求帮助-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 自校验破文写了一半被卡住了，求帮助 0.00雪花

发表于: 2013-3-15 11:24 4198

[旧帖] 自校验破文写了一半被卡住了，求帮助 0.00雪花

killbr

2013-3-15 11:24

4198

超好用的笔记软件,哥我想着爆破它好几天都没睡好觉了
这是一个我做梦都想着要把它PJ的一个，也是唯一有花钱购买欲的唯一一个。
对了忘说了，便携版去几个文件，就会变成pro版本，就有了输入KEY的地方了。

IDA,">从网上下载了7　8个版本，这是从宝——岛TW某人博客下载到的唯一字体超大超清晰超养眼的一个版本，用来做笔记或写汇编日志真的不错（字体颜色可直接点选，来的真方便），比myBase（15340K）的内存占用（它才800K）小很多。怎奈顶上的广告太烦人。

网上国内竟然没有一个可注册或PJ 的或达标的版本。
只是棺方的翻译有问题，有些地方汉化的不全。
脱壳之后的文件，可直接查看到不同授权的信息在w32dasm中，在winhex能看到顶上的广告的字样。
下载地址：
http://pan.baidu.com/share/link?shareid=313217&uk=2852213429
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
程序本身哪怕修改下文件名，都会：
  报错1
主程序用peid查，upx 加之，upx -d 可脱
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
把脱后的文件用od加载，按一下F9，竟然直接出来上面的报错1
无法调试下去，
用winhex搜索以上字串，找不到。此路行不通了，不与之纠缠
换武器：Mdebug （故事转折点：）

帖子未完，继续加工，随编随存盘，版主莫咔嚓~~~

按下F5执行后，一路按着F10，直到出现报错1
给那处设断，重运行，再次到那时单步进入，进入后再设断，再按F10一路走，走到后再单步进入
，此时往上找call cmp 跳之类的。依次记录16进制代码改之：

最后来到一处叫做：a62ca8 的call          NOP之
其下也有killuseExe之类字样，就是了。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
搜索不同
notebook.exe.exe: 9,222,440 字节
         3.exe: 9,222,440 字节
Offsets: 十六进制

6620A8:       E8       90
6620A9:       8B       90
6620AA:       99       90
6620AB:       AB       90
6620AC:       FF       90

5 不同被发现。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
暴了之后出来新的报错2

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
现在我们再度换武器：winhex ,ctrl+F,搜索An error occurred in the application，

共有2处：
用这东西
转换一下：
3369C －－－》：43429C
87CB56－－－》：47BF56

顺路在winhex中用替换功能把字串改下，结果第二处：
果然发生变化，也就说明下一步，我们的重点打击对象该放在第二处代码：87CB56－－－》：47BF56周边地带。

源文件在w32dasm中打开后，ctrl+l运行，设断，往下走，看能不能拦下，

：47BF56上推得
:9F77C0 jz  此断点
=================================
009F77C0                         /75 4F                jnz short 3-5.009F7811 w32dasm中这里设断可拦下
009F77C2                         |33D2                xor edx,edx
009F77C4                         |8B83 7C030000       mov eax,dword ptr ds:[ebx+37C]
009F77CA                         |8B08                mov ecx,dword ptr ds:[eax]
009F77CC                         |FF51 64             call dword ptr ds:[ecx+64]
009F77CF                         |33D2                xor edx,edx
009F77D1                         |8B83 84030000       mov eax,dword ptr ds:[ebx+384]
009F77D7                         |8B08                mov ecx,dword ptr ds:[eax]
009F77D9                         |FF51 64             call dword ptr ds:[ecx+64]
009F77DC                         |33D2                xor edx,edx
009F77DE                         |8B83 80030000       mov eax,dword ptr ds:[ebx+380]
009F77E4                         |8B08                mov ecx,dword ptr ds:[eax]
009F77E6                         |FF51 64             call dword ptr ds:[ecx+64]
009F77E9                         |8D55 E4             lea edx,dword ptr ss:[ebp-1C]
009F77EC                         |B8 56080000          mov eax,856
009F77F1                         |E8 BAE8EEFF          call 3-5.008E60B0
009F77F6                         |8D45 E4             lea eax,dword ptr ss:[ebp-1C]
009F77F9                         |BA 10799F00          mov edx,3-5.009F7910             ; UNICODE "  (PRO-Edition)"
009F77FE                         |E8 2900A1FF          call 3-5.0040782C
009F7803                         |8B55 E4             mov edx,dword ptr ss:[ebp-1C]
009F7806                         |8B83 7C030000       mov eax,dword ptr ds:[ebx+37C]
009F780C                         |E8 EB0BB0FF          call 3-5.004F83FC
009F7811                         \8B93 90030000       mov edx,dword ptr ds:[ebx+390]
009F7817                         8B8A 94040000       mov ecx,dword ptr ds:[edx+494]
009F781D                         A1 80C8A800          mov eax,dword ptr ds:[A8C880]
009F7822                         8B80 F8000000       mov eax,dword ptr ds:[eax+F8]
009F7828                         0348 10             add ecx,dword ptr ds:[eax+10]按到这里F8走不动了

CPU Disasm
地址                   HEX 数据          指令                                     注释
7C92E47C KiUserExcepti 8B4C24 04    mov    ecx, dword ptr [es+4]          ; ntdll.KiUserExceptionDisPatcher(pExceptionRecord,pContext
7C92E480                8B1C24       mov    ebx, dword ptr [es]
7C92E483                51             push ecx
7C92E484                53             push ebx
7C92E485                E8 84C00100    call 7C94A50E 到这时玩完！

接下来，被卡住了，求帮助

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・1

免费・0

支持

最新回复 (10)
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 2 楼还有一个问题，我上次设完断的（别的程序中的）地址，下次重启后，alt+b后，还得一个个的清除呢，哪个选项起的作用？还有OD的工具栏的按钮能否弄的大大的，看着太小，累眼啊。 2013-3-15 11:33 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 3 楼软件反馈的信息有用不？上传的附件：快照9.gif （54.89kb，1次下载） 2013-3-15 12:20 0
IamHuskar 雪币： 1392 活跃值： (4862) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 4 楼没有看到任何广告 LZ想干嘛》？ 2013-3-15 12:33 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 5 楼默认是lite版本，功能受限。你再删除几个文件就变成PRO的了。 pro有很多有用的功能。当然是去时间限制，最好能注册了。 2013-3-15 12:43 0
IamHuskar 雪币： 1392 活跃值： (4862) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 6 楼是我2B了吗？我没看到一个注册的地方，也没看到哪里有限制？？ 2013-3-15 12:49 0
透明色雪币： 143 活跃值： (263) 能力值： ( LV8，RANK：120 ) 在线值：发帖 12 回帖 242 粉丝 8 关注私信	透明色 2 7 楼 mark 看一下 2013-3-15 12:59 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 8 楼这软件设置为中文后，有些地方没汉化全面。所以我想脱壳后汉化，壳容易搞，upx -d 或论坛工具都可以，关键是自校验机制哪怕把文件名更改也后报错的。把文件精简化一下，你就明白了。咋就不明白呢。你默认用的是lite模式，时间虽然没限制，但功能打折了。如下限制。 Welcome to AM-Notebook AM-Notebook is a multi-featured personal information manager that provides an easy and reliable way to save notes, formula supported spreadsheets, flowcharts, TODO lists, tasks and contacts in a light weight tray icon tool. Lots of text formatting features allows you to create clear and well designed notes and formula supported spreadsheets. Feature Highlights Open notes and spreadsheets in different tabs Notes with many text formatting features Spreadsheets with functions and formulas Diagrams and Flowcharts TODO list Calendar Encrypted notes Clips and Templates Address book Alarm Global search Some differences between PRO / LITE Edition General Lite PRO Tab support yes yes Organize notes in folders - yes Different note locations / Network support - yes Reopen last tabs - yes Save (Reopen) opened tabs as group - yes Send by email - yes Removable Drive / USB-Stick Support yes yes Notes Full formatting (Fonts, Paragraphs, Colors, etc.) yes yes Embedded tables yes yes Spell Check yes yes Bookmarks within notes - yes Apply predefined styles - yes Clips / Templates - yes Encrypt notes - yes Paste clipboard as new note - yes Sort selection ascending/descending - yes Global Search - yes References between notes - yes Quickly search and open notes with Ctrl+F5 - yes Print notes yes yes Export notes to RTF / HTML - yes Lock Tabs - yes Spreadsheets Format Cells yes yes Calculate formulas and functions yes yes Print spreadsheets yes yes Export spreadsheets to HTML - yes Diagrams / Flowcharts Create Diagrams and Flowcharts - yes Print Diagrams and Flowcharts - yes Export Diagrams and Flowcharts to PNG - yes TODO TODO list yes yes Due date / Overdue warnings - yes Reminder - yes Calendar Calendar functionality yes yes Recurring tasks yes yes Remind at event start - yes Remind before event start - yes Contacts Address list yes yes Birthday reminder - yes Additional Tools Integration of Local Website Archive - yes Smart reminder - yes Alarm Feature yes yes Define external tools within AM-Notebook - yes Backup/Restore yes yes License Freeware for personal use Must be purchased Visit www.aignes.com to get more information about AM-Notebook. (Hyperlinks can be opened with Ctrl+Click or via the context menu) 你要实在不明白，你就官方网下载一个PRO的。我这个是下载了不下7 8个之后找到的字体超大的唯一版本，其他版本不知何原因字实在是太小了。安装时也能变成lite版本的，只不过lite版本的得折腾一下（因为它在那个 Portable启动方式的影响下。）。上传的附件：快照10.gif （131.18kb，2次下载） 2013-3-15 13:07 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 9 楼 pro版本其实跟lite版本都是同样的那些文件，不过可能启动模式不一样而已。 pro版本，你能用30天，30天后估计转为lite吧，这个我在类似影子模式中，对我来说时间没意义，但使用时不能自动加载上次保存的内容，默认保存内容的路径好像不能改，你把它安在非系统盘它自己的数据文件，会变成2份： X:\AM-Notebook 6.1\notes\.rvf C:\Documents and Settings\Administrator\Application Data\aignes\AM-Notebook\notes\.rvf 同样有一份。 pro版本有搜索功能，标签，高亮等功能，不是一般的好。不去校验，我就不能把汉化不足的地方，搞彻底了。太不爽了。 2013-3-15 13:14 0
kxzjchen 雪币： 190 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 470 粉丝 0 关注私信	kxzjchen 10 楼坐等牛牛爆菊 2013-3-15 14:16 0
YUEN 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 52 粉丝 0 关注私信	YUEN 11 楼这个记事本，，漂亮。技术性的东西，偶超级菜鸟了 2013-3-19 21:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

killbr

254

发帖

1688

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 2 楼还有一个问题，我上次设完断的（别的程序中的）地址，下次重启后，alt+b后，还得一个个的清除呢，哪个选项起的作用？还有OD的工具栏的按钮能否弄的大大的，看着太小，累眼啊。 2013-3-15 11:33 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 3 楼软件反馈的信息有用不？上传的附件：快照9.gif （54.89kb，1次下载） 2013-3-15 12:20 0
IamHuskar 雪币： 1392 活跃值： (4862) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 4 楼没有看到任何广告 LZ想干嘛》？ 2013-3-15 12:33 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 5 楼默认是lite版本，功能受限。你再删除几个文件就变成PRO的了。 pro有很多有用的功能。当然是去时间限制，最好能注册了。 2013-3-15 12:43 0
IamHuskar 雪币： 1392 活跃值： (4862) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 6 楼是我2B了吗？我没看到一个注册的地方，也没看到哪里有限制？？ 2013-3-15 12:49 0
透明色雪币： 143 活跃值： (263) 能力值： ( LV8，RANK：120 ) 在线值：发帖 12 回帖 242 粉丝 8 关注私信	透明色 2 7 楼 mark 看一下 2013-3-15 12:59 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 8 楼这软件设置为中文后，有些地方没汉化全面。所以我想脱壳后汉化，壳容易搞，upx -d 或论坛工具都可以，关键是自校验机制哪怕把文件名更改也后报错的。把文件精简化一下，你就明白了。咋就不明白呢。你默认用的是lite模式，时间虽然没限制，但功能打折了。如下限制。 Welcome to AM-Notebook AM-Notebook is a multi-featured personal information manager that provides an easy and reliable way to save notes, formula supported spreadsheets, flowcharts, TODO lists, tasks and contacts in a light weight tray icon tool. Lots of text formatting features allows you to create clear and well designed notes and formula supported spreadsheets. Feature Highlights Open notes and spreadsheets in different tabs Notes with many text formatting features Spreadsheets with functions and formulas Diagrams and Flowcharts TODO list Calendar Encrypted notes Clips and Templates Address book Alarm Global search Some differences between PRO / LITE Edition General Lite PRO Tab support yes yes Organize notes in folders - yes Different note locations / Network support - yes Reopen last tabs - yes Save (Reopen) opened tabs as group - yes Send by email - yes Removable Drive / USB-Stick Support yes yes Notes Full formatting (Fonts, Paragraphs, Colors, etc.) yes yes Embedded tables yes yes Spell Check yes yes Bookmarks within notes - yes Apply predefined styles - yes Clips / Templates - yes Encrypt notes - yes Paste clipboard as new note - yes Sort selection ascending/descending - yes Global Search - yes References between notes - yes Quickly search and open notes with Ctrl+F5 - yes Print notes yes yes Export notes to RTF / HTML - yes Lock Tabs - yes Spreadsheets Format Cells yes yes Calculate formulas and functions yes yes Print spreadsheets yes yes Export spreadsheets to HTML - yes Diagrams / Flowcharts Create Diagrams and Flowcharts - yes Print Diagrams and Flowcharts - yes Export Diagrams and Flowcharts to PNG - yes TODO TODO list yes yes Due date / Overdue warnings - yes Reminder - yes Calendar Calendar functionality yes yes Recurring tasks yes yes Remind at event start - yes Remind before event start - yes Contacts Address list yes yes Birthday reminder - yes Additional Tools Integration of Local Website Archive - yes Smart reminder - yes Alarm Feature yes yes Define external tools within AM-Notebook - yes Backup/Restore yes yes License Freeware for personal use Must be purchased Visit www.aignes.com to get more information about AM-Notebook. (Hyperlinks can be opened with Ctrl+Click or via the context menu) 你要实在不明白，你就官方网下载一个PRO的。我这个是下载了不下7 8个之后找到的字体超大的唯一版本，其他版本不知何原因字实在是太小了。安装时也能变成lite版本的，只不过lite版本的得折腾一下（因为它在那个 Portable启动方式的影响下。）。上传的附件：快照10.gif （131.18kb，2次下载） 2013-3-15 13:07 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 9 楼 pro版本其实跟lite版本都是同样的那些文件，不过可能启动模式不一样而已。 pro版本，你能用30天，30天后估计转为lite吧，这个我在类似影子模式中，对我来说时间没意义，但使用时不能自动加载上次保存的内容，默认保存内容的路径好像不能改，你把它安在非系统盘它自己的数据文件，会变成2份： X:\AM-Notebook 6.1\notes\.rvf C:\Documents and Settings\Administrator\Application Data\aignes\AM-Notebook\notes\.rvf 同样有一份。 pro版本有搜索功能，标签，高亮等功能，不是一般的好。不去校验，我就不能把汉化不足的地方，搞彻底了。太不爽了。 2013-3-15 13:14 0
kxzjchen 雪币： 190 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 470 粉丝 0 关注私信	kxzjchen 10 楼坐等牛牛爆菊 2013-3-15 14:16 0
YUEN 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 52 粉丝 0 关注私信	YUEN 11 楼这个记事本，，漂亮。技术性的东西，偶超级菜鸟了 2013-3-19 21:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复