请高手看下这个牛逼的加密软件！-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 请高手看下这个牛逼的加密软件！ 0.00雪花

发表于: 2013-9-21 15:48 18386

[旧帖] 请高手看下这个牛逼的加密软件！ 0.00雪花

weienchong 活跃值

2013-9-21 15:48

18386

解包器.rar 这个程序如果修改任意一处跳转就不能启动，忘各位高手能够提供帮助，这个软件已脱壳，请各位能帮助一下！谢谢了

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

解包器.rar （2.37MB，305次下载）

收藏・2

免费・0

支持

最新回复 (26) 1 2 ▶
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 2 楼看标题已经吓尿了. 2013-9-21 16:30 0
IamHuskar 雪币： 1392 活跃值： (5177) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 3 楼没尿。不过有点水了 2013-9-21 16:51 0
IamHuskar 雪币： 1392 活跃值： (5177) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 4 楼 00072DB6 \|. 50 PUSH EAX 00072DB7 \|. FF15 20420700 CALL DWORD PTR DS:[<&imagehlp.MapFileAnd>; imagehlp.MapFileAndCheckSumW 00072DBD \|. 85C0 TEST EAX,EAX 00072DBF EB 08 JMP SHORT 解包器2.00072DC9 这里 JMP******************** 00072DC1 \|. 6A 00 PUSH 0 ; /ExitCode = 0 00072DC3 \|. FF15 8C400700 CALL DWORD PTR DS:[<&KERNEL32.ExitProces>; \ExitProcess 00072DC9 \|> 8B8D ECFDFFFF MOV ECX,DWORD PTR SS:[EBP-214] 00072DCF \|. 3B8D F0FDFFFF CMP ECX,DWORD PTR SS:[EBP-210] 00072DD5 EB 08 JMP SHORT 解包器2.00072DDF 这里JMP ******************** 00072DD7 \|. 6A 00 PUSH 0 ; /ExitCode = 0 00072DD9 \|. FF15 8C400700 CALL DWORD PTR DS:[<&KERNEL32.ExitProces>; \ExitProcess 00072DDF \|> 8B4D FC MOV ECX,DWORD PTR SS:[EBP-4] 00072DE2 \|. 33CD XOR ECX,EBP 00072DE4 \|. E8 BD060000 CALL 解包器2.000734A6 00072DE9 \|. 8BE5 MOV ESP,EBP 00072DEB \|. 5D POP EBP 00072DEC \. C3 RETN 两个 JCC修改为 JMP就随便搞了。取个这么吓人的标题。真是吓死我了 2013-9-21 17:00 0
shiyapeng 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 56 粉丝 0 关注私信	shiyapeng 5 楼什么吓尿，下水的？ 2013-9-21 19:42 0
xwzhjing 雪币： 41 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	xwzhjing 6 楼问一下，四楼的是从哪里得来的数据？我怎么看没有这些？？？ 2013-11-25 17:13 0
猎love手雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	猎love手 7 楼都是大神啊！新手求教 2013-11-27 01:59 0
釜森雪币： 255 活跃值： (372) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 104 粉丝 1 关注私信	釜森 8 楼标题的确吓人,其实比较好弄.按照4楼的思路,先将00402D28 00402DBF 00402DD5三处的跳转改为jmp,完成去自校验.然后,对下面区间的代码作修改: 0040189A 8D8D E0F9FFFF lea ecx,dword ptr ss:[ebp-620] 004018A0 \|. FF15 6C424000 call dword ptr ds:[<&mfc100u.#2614>] ; mfc100u.7864AA75 004018A6 \|. 85C0 test eax,eax 004018A8 8D8D E4F9FFFF lea ecx,dword ptr ss:[ebp-61C] 004018AE \|. 0F94C3 sete bl 004018B1 \|. C645 FC 00 mov byte ptr ss:[ebp-4],0 004018B5 \|. FF15 34424000 call dword ptr ds:[<&mfc100u.#902>] ; mfc100u.78650BEE 004018BB \|. 84DB test bl,bl 004018BD \|. 0F84 99000000 je 解包器2.0040195C 004018C3 8D8D E4F9FFFF lea ecx,dword ptr ss:[ebp-61C] 004018C9 \|. FF15 3C424000 call dword ptr ds:[<&mfc100u.#296>] ; mfc100u.7864616E 004018CF \|. 68 04010000 push 104 ; /BufSize = 104 (260.) 004018D4 8D8D E8FDFFFF lea ecx,dword ptr ss:[ebp-218] ; \| 004018DA \|. 51 push ecx ; \|PathBuffer 004018DB \|. 6A 00 push 0 ; \|hModule = NULL 004018DD \|. C645 FC 02 mov byte ptr ss:[ebp-4],2 ; \| 004018E1 \|. FF15 78404000 call dword ptr ds:[<&KERNEL32.GetModuleFile>; \GetModuleFileNameW 004018E7 \|. 8D95 E8FDFFFF lea edx,[local.134] 004018ED \|. 52 push edx ; /Path 004018EE \|. FF15 18414000 call dword ptr ds:[<&SHLWAPI.PathRemoveFile>; \PathRemoveFileSpecW 004018F4 8D85 E8FDFFFF lea eax,dword ptr ss:[ebp-218] 004018FA \|. 50 push eax 004018FB 8D8D E4F9FFFF lea ecx,dword ptr ss:[ebp-61C] 00401901 \|. 68 D4434000 push 解包器2.004043D4 ; %s\unpack.ini 00401906 \|. 51 push ecx 00401907 \|. FF15 4C424000 call dword ptr ds:[<&mfc100u.#4290>] ; mfc100u.7864A8FB 0040190D 8B95 E4F9FFFF mov edx,dword ptr ss:[ebp-61C] 00401913 8B85 E0F9FFFF mov eax,dword ptr ss:[ebp-620] (将[ebp-620]和[ebp-61C]调过来,即:-620改为-61C,-61C改为-620) 程序经以上改动后可实现自注册,在注册时随意输入甚至不输入任何东东,点击"注册"就可实现正确注册.在程序目录下生成的unpack.ini文件中记录了正确的注册码.OK! 2013-11-27 13:17 0
luckyqhc 雪币： 41 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	luckyqhc 9 楼可以借此写个注册即 2013-11-28 01:45 0
齐德龙雪币： 12 活跃值： (340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	齐德龙 10 楼 bp ExitProcess下断 2013-11-28 20:07 0
幸福蓝枫雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 5 粉丝 0 关注私信	幸福蓝枫 11 楼嗯我也学到了呵呵 2013-11-28 20:45 0
myangel 雪币： 1795 活跃值： (63) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 334 粉丝 1 关注私信	myangel 12 楼确实被标题吓到了。。。 2013-11-28 21:36 0
songjinze 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	songjinze 13 楼标题好吓人呀不过我是来学习的 2013-11-29 12:11 0
szhelaoshi 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	szhelaoshi 14 楼四楼值得学习 2013-12-13 15:33 0
刘工公雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	刘工公 15 楼我也是新手，学习啰。 2013-12-15 21:30 0
liwz 雪币： 41 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	liwz 16 楼楼上都是高手，我过来水一下 2013-12-15 21:55 0
我叫白小飞雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	我叫白小飞 17 楼新手，学习中，顺便看看 2013-12-16 19:38 0
viryatony 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	viryatony 18 楼学习了，辛苦大侠指点 2013-12-23 23:48 0
你的香气雪币： 328 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	你的香气 19 楼这是CreakMe？学习 2014-1-3 23:36 0
零度邪恶雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	零度邪恶 20 楼耶我也成功啦。分别走了三次第一次改了一个JMP 发现还是会自动退出第二次载入第一次修改后的软件又改了一个JMP 最后根据弹出对话框把JE改为JMP 成功了。 2014-1-5 14:36 0
张jialin 雪币： 90 活跃值： (92) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 117 粉丝 2 关注私信	张jialin 1 21 楼这个帖子挺久了貌似。。。不过路过了也就留下点儿。 od查找当前模块中的所有参考（标签），找到ExitProcess,右键查找所有输入函数参考，可以看到有三个参考。分别到汇编窗口中看一下，很简单就能看见就在Call ExitProcess之前都会有条件跳转，全部改为jmp就可以了。我也想问个问题。8楼是怎么找到注册比较的那个函数段的？我在XCGUI.dll里下断GetWindowText能在点注册的时候断下来，但是od中如何直接从XCGUI.dll模块中直接执行到返回解包器.exe那个模块？到处都没找到怎么办。 2014-1-6 21:46 0
firesea 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	firesea 22 楼新人报道,调试之路向大家学习, 2014-1-7 15:37 0
tangyanyi 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	tangyanyi 23 楼我也是新手，学习啰。 2014-1-8 02:52 0
bangiao 雪币： 1642 活跃值： (339) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	bangiao 24 楼被标题吸引来的～～～～ 2014-1-11 11:08 0
czenghua 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	czenghua 25 楼你的标题太吓人了，跟着学习下 2014-1-17 18:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

weienchong

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 2 楼看标题已经吓尿了. 2013-9-21 16:30 0
IamHuskar 雪币： 1392 活跃值： (5177) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 3 楼没尿。不过有点水了 2013-9-21 16:51 0
IamHuskar 雪币： 1392 活跃值： (5177) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 4 楼 00072DB6 \|. 50 PUSH EAX 00072DB7 \|. FF15 20420700 CALL DWORD PTR DS:[<&imagehlp.MapFileAnd>; imagehlp.MapFileAndCheckSumW 00072DBD \|. 85C0 TEST EAX,EAX 00072DBF EB 08 JMP SHORT 解包器2.00072DC9 这里 JMP******************** 00072DC1 \|. 6A 00 PUSH 0 ; /ExitCode = 0 00072DC3 \|. FF15 8C400700 CALL DWORD PTR DS:[<&KERNEL32.ExitProces>; \ExitProcess 00072DC9 \|> 8B8D ECFDFFFF MOV ECX,DWORD PTR SS:[EBP-214] 00072DCF \|. 3B8D F0FDFFFF CMP ECX,DWORD PTR SS:[EBP-210] 00072DD5 EB 08 JMP SHORT 解包器2.00072DDF 这里JMP ******************** 00072DD7 \|. 6A 00 PUSH 0 ; /ExitCode = 0 00072DD9 \|. FF15 8C400700 CALL DWORD PTR DS:[<&KERNEL32.ExitProces>; \ExitProcess 00072DDF \|> 8B4D FC MOV ECX,DWORD PTR SS:[EBP-4] 00072DE2 \|. 33CD XOR ECX,EBP 00072DE4 \|. E8 BD060000 CALL 解包器2.000734A6 00072DE9 \|. 8BE5 MOV ESP,EBP 00072DEB \|. 5D POP EBP 00072DEC \. C3 RETN 两个 JCC修改为 JMP就随便搞了。取个这么吓人的标题。真是吓死我了 2013-9-21 17:00 0
shiyapeng 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 56 粉丝 0 关注私信	shiyapeng 5 楼什么吓尿，下水的？ 2013-9-21 19:42 0
xwzhjing 雪币： 41 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	xwzhjing 6 楼问一下，四楼的是从哪里得来的数据？我怎么看没有这些？？？ 2013-11-25 17:13 0
猎love手雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	猎love手 7 楼都是大神啊！新手求教 2013-11-27 01:59 0
釜森雪币： 255 活跃值： (372) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 104 粉丝 1 关注私信	釜森 8 楼标题的确吓人,其实比较好弄.按照4楼的思路,先将00402D28 00402DBF 00402DD5三处的跳转改为jmp,完成去自校验.然后,对下面区间的代码作修改: 0040189A 8D8D E0F9FFFF lea ecx,dword ptr ss:[ebp-620] 004018A0 \|. FF15 6C424000 call dword ptr ds:[<&mfc100u.#2614>] ; mfc100u.7864AA75 004018A6 \|. 85C0 test eax,eax 004018A8 8D8D E4F9FFFF lea ecx,dword ptr ss:[ebp-61C] 004018AE \|. 0F94C3 sete bl 004018B1 \|. C645 FC 00 mov byte ptr ss:[ebp-4],0 004018B5 \|. FF15 34424000 call dword ptr ds:[<&mfc100u.#902>] ; mfc100u.78650BEE 004018BB \|. 84DB test bl,bl 004018BD \|. 0F84 99000000 je 解包器2.0040195C 004018C3 8D8D E4F9FFFF lea ecx,dword ptr ss:[ebp-61C] 004018C9 \|. FF15 3C424000 call dword ptr ds:[<&mfc100u.#296>] ; mfc100u.7864616E 004018CF \|. 68 04010000 push 104 ; /BufSize = 104 (260.) 004018D4 8D8D E8FDFFFF lea ecx,dword ptr ss:[ebp-218] ; \| 004018DA \|. 51 push ecx ; \|PathBuffer 004018DB \|. 6A 00 push 0 ; \|hModule = NULL 004018DD \|. C645 FC 02 mov byte ptr ss:[ebp-4],2 ; \| 004018E1 \|. FF15 78404000 call dword ptr ds:[<&KERNEL32.GetModuleFile>; \GetModuleFileNameW 004018E7 \|. 8D95 E8FDFFFF lea edx,[local.134] 004018ED \|. 52 push edx ; /Path 004018EE \|. FF15 18414000 call dword ptr ds:[<&SHLWAPI.PathRemoveFile>; \PathRemoveFileSpecW 004018F4 8D85 E8FDFFFF lea eax,dword ptr ss:[ebp-218] 004018FA \|. 50 push eax 004018FB 8D8D E4F9FFFF lea ecx,dword ptr ss:[ebp-61C] 00401901 \|. 68 D4434000 push 解包器2.004043D4 ; %s\unpack.ini 00401906 \|. 51 push ecx 00401907 \|. FF15 4C424000 call dword ptr ds:[<&mfc100u.#4290>] ; mfc100u.7864A8FB 0040190D 8B95 E4F9FFFF mov edx,dword ptr ss:[ebp-61C] 00401913 8B85 E0F9FFFF mov eax,dword ptr ss:[ebp-620] (将[ebp-620]和[ebp-61C]调过来,即:-620改为-61C,-61C改为-620) 程序经以上改动后可实现自注册,在注册时随意输入甚至不输入任何东东,点击"注册"就可实现正确注册.在程序目录下生成的unpack.ini文件中记录了正确的注册码.OK! 2013-11-27 13:17 0
luckyqhc 雪币： 41 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	luckyqhc 9 楼可以借此写个注册即 2013-11-28 01:45 0
齐德龙雪币： 12 活跃值： (340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	齐德龙 10 楼 bp ExitProcess下断 2013-11-28 20:07 0
幸福蓝枫雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 5 粉丝 0 关注私信	幸福蓝枫 11 楼嗯我也学到了呵呵 2013-11-28 20:45 0
myangel 雪币： 1795 活跃值： (63) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 334 粉丝 1 关注私信	myangel 12 楼确实被标题吓到了。。。 2013-11-28 21:36 0
songjinze 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	songjinze 13 楼标题好吓人呀不过我是来学习的 2013-11-29 12:11 0
szhelaoshi 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	szhelaoshi 14 楼四楼值得学习 2013-12-13 15:33 0
刘工公雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	刘工公 15 楼我也是新手，学习啰。 2013-12-15 21:30 0
liwz 雪币： 41 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	liwz 16 楼楼上都是高手，我过来水一下 2013-12-15 21:55 0
我叫白小飞雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	我叫白小飞 17 楼新手，学习中，顺便看看 2013-12-16 19:38 0
viryatony 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	viryatony 18 楼学习了，辛苦大侠指点 2013-12-23 23:48 0
你的香气雪币： 328 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	你的香气 19 楼这是CreakMe？学习 2014-1-3 23:36 0
零度邪恶雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	零度邪恶 20 楼耶我也成功啦。分别走了三次第一次改了一个JMP 发现还是会自动退出第二次载入第一次修改后的软件又改了一个JMP 最后根据弹出对话框把JE改为JMP 成功了。 2014-1-5 14:36 0
张jialin 雪币： 90 活跃值： (92) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 117 粉丝 2 关注私信	张jialin 1 21 楼这个帖子挺久了貌似。。。不过路过了也就留下点儿。 od查找当前模块中的所有参考（标签），找到ExitProcess,右键查找所有输入函数参考，可以看到有三个参考。分别到汇编窗口中看一下，很简单就能看见就在Call ExitProcess之前都会有条件跳转，全部改为jmp就可以了。我也想问个问题。8楼是怎么找到注册比较的那个函数段的？我在XCGUI.dll里下断GetWindowText能在点注册的时候断下来，但是od中如何直接从XCGUI.dll模块中直接执行到返回解包器.exe那个模块？到处都没找到怎么办。 2014-1-6 21:46 0
firesea 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	firesea 22 楼新人报道,调试之路向大家学习, 2014-1-7 15:37 0
tangyanyi 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	tangyanyi 23 楼我也是新手，学习啰。 2014-1-8 02:52 0
bangiao 雪币： 1642 活跃值： (339) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	bangiao 24 楼被标题吸引来的～～～～ 2014-1-11 11:08 0
czenghua 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	czenghua 25 楼你的标题太吓人了，跟着学习下 2014-1-17 18:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复