破流光4.71for nt/2000/xp版

                     gg1211[CZG]制作
                     qq:16971953

××××××××××××××××××××××××××××××××××××××××××××××
   相信大家有很多人有用过的经历，大名顶顶的安全检测软件哦。
   1、解决了在某些NT4.0系统中Sensor无法运行的问题，Sensor比上一个版本稳定很多。2、加入了Sensor管理工具，可以对Sensor的状态方便地进行监控。3、加入了后台扫描模式，对于部分网速比较慢的拨号用户来说是一个非常实用的功能。4、删除服务时，将安装的文件全部删除。5、在Sensor本地不再保留任何密码或者扫描设置文件。6、加入了本地模式，在本机运行是不必安装Sensor。7、Sensor扫描临时结果文件(*.PTR)的尺寸大约减少了10倍。8、后台扫描模式时，扫描的结果（*.PTR)可以直接通过附件发送到信箱。9、Sensor的扫描速度加快。10、减少了Sensor异常退出的BUG。11、流光的界面和Sensor之间的通讯采用Triple-DES，密钥的长度最多可到192bits，保证整个传输过程不可监听。扫描的结果也只有在密钥正确的情况下才可阅读。12、修正的控制服务，新的控制服务在升级Sensor时不再会失败。13、Sensor的服务名称可以任意指定，控制服务和Sensor的进程名称也可以任意指定。14、支持XP（本地模式）
××××××××××××××××××××××××××××××××××××××××××××××
   
【破解作者】 gg1211[CZG]
【作者邮箱】 qibinlei@yahoo.com.cn
【使用工具】 OD1.10、Peid 0.93、w32asm
【破解平台】 XP-Sp2
【软件名称】 流光4.71fornt/2000/xp版
【加壳方式】 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
【破解声明】 我是一只小菜鸟，偶得一点心得，愿与大家分享：）

下载地址：http://soft.3800cc.com/down1/sm/Fluxay471NTSetup.rar
这个新版本是最近在黑鹰看见的,呵呵

开工
用peid查壳
是 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
od载入
00F1B5A0 fl> 60      pushad
00F1B5A1   BE 0000E700  mov esi,fluxay47.00E70000
00F1B5A6   8DBE 001059FF lea edi,dword ptr ds:[esi+FF59100>
00F1B5AC   57      push edi
00F1B5AD   83CD FF    or ebp,FFFFFFFF
00F1B5B0   EB 10     jmp short fluxay47.00F1B5C2
00F1B5B2   90      nop
00F1B5B3   90      nop
00F1B5B4   90      nop

呵呵
对于这种壳,我们用esp定律
下断 dd 12ffa4
来到这里 004D98B8脱壳
004D98B8   55      push ebp
004D98B9   8BEC     mov ebp,esp
004D98BB   6A FF     push -1
004D98BD   68 38B85200  push fluxay47.0052B838
004D98C2   68 30DC4D00  push fluxay47.004DDC30
004D98C7   64:A1 0000000>mov eax,dword ptr fs:[0]

运行看看
有错误
晕修复

再运行看看,再运行，呵呵可以运行，提示 ！什么感染什么的，胡扯！，晕都晕了
看来还要去掉他的校验才可以正常运行
od载入
bp CreateFileA

来到这里
0040EAA9   8B4C24 20   mov ecx,dword ptr ss:[esp+20]
0040EAAD   2BD1     sub edx,ecx
0040EAAF   52      push edx
0040EAB0   50      push eax
0040EAB1   51      push ecx
0040EAB2   68 4832E600  push D98B8_.00E63248
0040EAB7   8BCE     mov ecx,esi
0040EAB9   E8 66320E00  call D98B8_.004F1D24     ; 将他nop掉就可以了
0040EABE   51      push ecx
0040EABF   8D4424 34   lea eax,dword ptr ss:[esp+34]
0040EAC3   8BCC     mov ecx,esp
0040EAC5   896424 30   mov dword ptr ss:[esp+30],esp
0040EAC9   50      push eax
0040EACA   E8 693D0E00  call D98B8_.004F2838
0040EACF   8BCE     mov ecx,esi
0040EAD1   E8 5A000000  call D98B8_.0040EB30
0040EAD6   A1 243A5B00  mov eax,dword ptr ds:[5B3A24]

保存,再运行
终于可以运行了，不过有错误提示
看见就烦，干掉他
od载入
bp MessageBoxA下断
运行,拦截
看到右下角
0009F380  004F904E  /CALL 到 MessageBoxA 来自 D98B8_i.004F9048
0009F384  005E0700  |hOwner = 005E0700 (class='#32770',parent=005C0590)
0009F388  0009F4DC  |Text = "没有找到 一未命名文件。"
0009F38C  01612648  |Title = "D98B8_i"
0009F390  00000010  \Style = MB_OK|MB_ICONHAND|MB_APPLMODAL

来到4f9048将nop 掉就可以了
呵呵
可以正常运行了

现在我们还没有破他的ip限制，
找个国内ip段运行看，
有什么运行提示，记录下来以便于静态分析
Protected IP, Ignore...
%s is Out of IP License, Stopped.

w32asm该出场了，载入脱壳后的程序，静态分析
将
476b32 改为 jmp
4c5924 改为 jmp
483a4d 改为 jmp  就可以了
保存，运行，也！！！可以运行了
也不再有ip限制

呵呵
他的破戒就到此时为止了

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)