首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]SkinEngine 1.0 控件采用CC方式对NAG的100%破解
发表于: 2005-11-17 02:04 13331

[原创]SkinEngine 1.0 控件采用CC方式对NAG的100%破解

acafeel 活跃值
14
2005-11-17 02:04
13331

SkinEngine 1.0 控件采用CC方式对NAG的100%破解

【破解作者】 aCaFeeL
【我的主页】 http://cztool.ys168.com/
【使用工具】 ODbyDKY 1.10(感谢Dyk158打造的这把利器)
【破解平台】 Win98SE
【软件名称】 SkinEngine v1.0
【下载地址】 http://www.ksdev.com/
【软件简介】 这是一个(2005年11月15日)新出的界面控件,支持 Visual Basic,Visual C++,Borland Delphi, C++ Builder,Visual Basic.NET, Visual C#.NET,Visual J++.NET,Bolrand Delphi.NET, C# Builder等众多编译程序。未注册版本编译后的程序,在程序开始和结束时都会出现nag提示窗口。
【破解声明】 是§看雪§领我进了破解的这道门,而来了§看雪§这么久,通过前辈们的许多帖子,感觉自己也不断的有所收获!因此,出于对破解的爱好,自己斗胆也发一帖,将一点心得和体会拿出来与大家分享!不足之处还请多包含!
【破解内容】
    安装完skinengine控件后,通过分析它的说明文件和unins000.dat文件,知道了在它的"redist"目录以及在系统的"Windows\System"或"Windows\System32"目录下都安装了skinengine.dll文件,而这就是SkinEngine控件的核心部分。分析skinengine.dll文件,发现它是被UPX压缩了的,故将其解压。

    用ODbyDYK打开用了SkinEngine控件编译后的Exe文件,在CPU窗口中,点击鼠标右键,选择‘搜索-》所有参考文本串’,在新弹出的文本字符串参考窗口中,却没有找到任何与NAG窗口有关的信息 :-( 。

    于是按(Alt+E)键打开执行模块窗口,怪了!!窗口中居然也没有显示skinengine.dll的信息,而作为控件的核心,这个dll是一定要被导入的呀!嘿嘿,看来控件作者对自己产品的加密还是用了心的,没将它写入被编译程序的导入表中!那运行一下试试?按(F9)键运行,这时出现了NAG窗口,不要慌着按NAG窗口的“Close”按钮,而是在ODbyDKY中按(F12)键暂停,这时发现 模块窗口 中skinengine.dll却出现了,鼠标双击这一行后,便来到了skinengine.dll的领空,再搜索“所有参考文本串”,还是没有任何有价值的信息可供参考,看来只有从skinengine.dll的入口点开始一步一步的找了,这就是破解所需要的耐心了!

    而通过上面的分析,知道了控件是在运行中才调用skinengine.dll的,而要从skinengine.dll的入口点开始分析,就要在skinengine.dll的入口点周围找地方插入一个Int3(即机器码CC),以便程序一运行到skinengine.dll的入口点周围就被中断下来,这样才能对skinengine.dll进行详细的分析。

    在skinengine.dll的领空下,按(Ctrl+N)键打开“显示当前模块名称(标签)”的窗口,点击“类型”后,找到导出类型中的<ModuleEntryPoint>这一行,鼠标双击后来到skinengine.dll的入口点,看到如下代码:
。。。。。。
00DEA230 >  55              PUSH EBP                    //来到这里,skinengine.dll的入口点
00DEA231    8BEC            MOV EBP,ESP
00DEA233    83C4 C4         ADD ESP,-3C
00DEA236    B8 789EDE00     MOV EAX,SKINENGI.00DE9E78  //发现周围无法修改任何一个命令为Int3
00DEA23B    E8 B0C6F3FF     CALL SKINENGI.00D268F0     //因此决定进入该Call看看
00DEA240    E8 9BA0F3FF     CALL SKINENGI.00D242E0
00DEA245    8D40 00         LEA EAX,DWORD PTR DS:[EAX]
00DEA248    0000            ADD BYTE PTR DS:[EAX],AL
00DEA24A    0000            ADD BYTE PTR DS:[EAX],AL
00DEA24C    0000            ADD BYTE PTR DS:[EAX],AL
00DEA24E    0000            ADD BYTE PTR DS:[EAX],AL
00DEA250    0000            ADD BYTE PTR DS:[EAX],AL
00DEA252    0000            ADD BYTE PTR DS:[EAX],AL
00DEA254    0000            ADD BYTE PTR DS:[EAX],AL
00DEA256    0000            ADD BYTE PTR DS:[EAX],AL
。。。。。。

    于是,来到了虚拟地址: 00D268F0 处,看到如下的代码:
。。。。。。
00D268E9    E8 F6F6FFFF     CALL SKINENGI.00D25FE4
00D268EE    C3              RETN                        //上一个子程序的结束
00D268EF    90              NOP                         //**呵呵**重要** 可将此处改为: Int3
00D268F0    BA A8B0DE00     MOV EDX,SKINENGI.00DEB0A8   //这便是00DEA23B处的Call所调用的开始处了
00D268F5    837D 0C 01      CMP DWORD PTR SS:[EBP+C],1
00D268F9    75 2A           JNZ SHORT SKINENGI.00D26925
00D268FB    50              PUSH EAX
00D268FC    52              PUSH EDX
00D268FD    C605 64E6DE00 0>MOV BYTE PTR DS:[DEE664],1
00D26904    8B4D 08         MOV ECX,DWORD PTR SS:[EBP+8]
00D26907    890D 68E6DE00   MOV DWORD PTR DS:[DEE668],ECX
00D2690D    894A 04         MOV DWORD PTR DS:[EDX+4],ECX
00D26910    C742 08 0000000>MOV DWORD PTR DS:[EDX+8],0
00D26917    C742 0C 0000000>MOV DWORD PTR DS:[EDX+C],0
00D2691E    E8 C1FFFFFF     CALL SKINENGI.00D268E4
00D26923    5A              POP EDX
00D26924    58              POP EAX
00D26925    FF35 6CE6DE00   PUSH DWORD PTR DS:[DEE66C]
00D2692B    B9 C0B0DE00     MOV ECX,SKINENGI.00DEB0C0
00D26930    E8 5BD7FFFF     CALL SKINENGI.00D24090
00D26935    C3              RETN                         //00DEA23B处的Call的结束
。。。。。。

    发现虚拟地址:00D268EF 处居然有 NOP 命令,呵呵,如果猜得不错,这是控件作者自己留下的!

    因此将虚拟地址:00D268EF 处的 NOP  命令
                            改为 INT3 命令,相应的,
    也要将虚拟地址:00DEA23B 处的 CALL SKINENGI.00D268F0 命令
                            改为 CALL SKINENGI.00D268EF 命令,以便能够调用到 00D268EF 处的INT3;
    然后点击鼠标右键,选择‘复制到可执行文件-》所有修改’,在新弹出的窗口中,再次点击鼠标右键,选择‘保存文件’,将修改后的skinengine.dll文件保存。

    在ODbyDYK中按(Alt+F2)键结束调试,然后将被保存的skinengine.dll文件拷贝到Windows\system目录中覆盖掉原来的skinengine.dll文件,再在ODbyDYK中按(Ctrl+F2)键重新装载被调试程序,按(F9)键运行,这时程序中断在了skinengine.dll领空中的 00D268F0 处,按(F8)键一步一步的运行,到如下代码:
。。。。。。
00D268EF    CC              INT3                        //修改后所插入的CC
00D268F0    BA A8B0DE00     MOV EDX,SKINENGI.00DEB0A8   //重新装载程序后,便中断在了此处
00D268F5    837D 0C 01      CMP DWORD PTR SS:[EBP+C],1
00D268F9    75 2A           JNZ SHORT SKINENGI.00D26925
00D268FB    50              PUSH EAX
00D268FC    52              PUSH EDX
00D268FD    C605 64E6DE00 0>MOV BYTE PTR DS:[DEE664],1
00D26904    8B4D 08         MOV ECX,DWORD PTR SS:[EBP+8]
00D26907    890D 68E6DE00   MOV DWORD PTR DS:[DEE668],ECX
00D2690D    894A 04         MOV DWORD PTR DS:[EDX+4],ECX
00D26910    C742 08 0000000>MOV DWORD PTR DS:[EDX+8],0
00D26917    C742 0C 0000000>MOV DWORD PTR DS:[EDX+C],0
00D2691E    E8 C1FFFFFF     CALL SKINENGI.00D268E4
00D26923    5A              POP EDX
00D26924    58              POP EAX
00D26925    FF35 6CE6DE00   PUSH DWORD PTR DS:[DEE66C]
00D2692B    B9 C0B0DE00     MOV ECX,SKINENGI.00DEB0C0
00D26930    E8 5BD7FFFF     CALL SKINENGI.00D24090       //F8键运行此Call之后弹出NAG,因此,在之处需按F7键,进入此Call中
00D26935    C3              RETN
。。。。。。

    进入 CALL SKINENGI.00D24090 后,来到如下的代码:

。。。。。。
00D24090    51              PUSH ECX
00D24091    56              PUSH ESI
00D24092    57              PUSH EDI
00D24093    BE 38E6DE00     MOV ESI,SKINENGI.00DEE638
00D24098    8D7D C4         LEA EDI,DWORD PTR SS:[EBP-3C]
00D2409B    B9 0B000000     MOV ECX,0B
00D240A0    F3:A5           REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI>
00D240A2    8F05 58E6DE00   POP DWORD PTR DS:[DEE658]
00D240A8    8F05 54E6DE00   POP DWORD PTR DS:[DEE654]                     ; SKINENGI.00D20000
00D240AE    892D 4CE6DE00   MOV DWORD PTR DS:[DEE64C],EBP
00D240B4    891D 50E6DE00   MOV DWORD PTR DS:[DEE650],EBX
00D240BA    A3 40E6DE00     MOV DWORD PTR DS:[DEE640],EAX
00D240BF    8915 48E6DE00   MOV DWORD PTR DS:[DEE648],EDX
00D240C5    8D4D C4         LEA ECX,DWORD PTR SS:[EBP-3C]
00D240C8    890D 38E6DE00   MOV DWORD PTR DS:[DEE638],ECX
00D240CE    31C9            XOR ECX,ECX
00D240D0    837D 0C 00      CMP DWORD PTR SS:[EBP+C],0
00D240D4    75 02           JNZ SHORT SKINENGI.00D240D8
00D240D6    8B08            MOV ECX,DWORD PTR DS:[EAX]
00D240D8    890D 44E6DE00   MOV DWORD PTR DS:[DEE644],ECX
00D240DE    B8 6013D200     MOV EAX,<JMP.&KERNEL32.RaiseException>
00D240E3    A3 14E0DE00     MOV DWORD PTR DS:[DEE014],EAX
00D240E8    B8 6813D200     MOV EAX,<JMP.&KERNEL32.RtlUnwind>
00D240ED    A3 18E0DE00     MOV DWORD PTR DS:[DEE018],EAX
00D240F2    E8 91FEFFFF     CALL SKINENGI.00D23F88
00D240F7    8B45 0C         MOV EAX,DWORD PTR SS:[EBP+C]
00D240FA    40              INC EAX
00D240FB    A2 60E6DE00     MOV BYTE PTR DS:[DEE660],AL
00D24100    48              DEC EAX
00D24101    59              POP ECX
00D24102    8B11            MOV EDX,DWORD PTR DS:[ECX]
00D24104    8915 5CE6DE00   MOV DWORD PTR DS:[DEE65C],EDX
00D2410A    74 07           JE SHORT SKINENGI.00D24113
00D2410C    3C 03           CMP AL,3
00D2410E    7D 03           JGE SHORT SKINENGI.00D24113
00D24110    FF1481          CALL DWORD PTR DS:[ECX+EAX*4]
00D24113    51              PUSH ECX
00D24114    8B4C24 08       MOV ECX,DWORD PTR SS:[ESP+8]
00D24118    85C9            TEST ECX,ECX
00D2411A    74 08           JE SHORT SKINENGI.00D24124
00D2411C    8B45 0C         MOV EAX,DWORD PTR SS:[EBP+C]
00D2411F    8B55 10         MOV EDX,DWORD PTR SS:[EBP+10]
00D24122    FFD1            CALL ECX
00D24124    59              POP ECX
00D24125    8B45 0C         MOV EAX,DWORD PTR SS:[EBP+C]
00D24128    3C 03           CMP AL,3
00D2412A    7C 03           JL SHORT SKINENGI.00D2412F
00D2412C    FF1481          CALL DWORD PTR DS:[ECX+EAX*4]
00D2412F    833D 30E0DE00 0>CMP DWORD PTR DS:[DEE030],0
00D24136    75 0D           JNZ SHORT SKINENGI.00D24145
00D24138    C605 38E0DE00 0>MOV BYTE PTR DS:[DEE038],1
00D2413F    D93D 24B0DE00   FSTCW WORD PTR DS:[DEB024]
00D24145    8B45 0C         MOV EAX,DWORD PTR SS:[EBP+C]
00D24148    48              DEC EAX
00D24149    0F85 91010000   JNZ SKINENGI.00D242E0         //此处不跳转!
00D2414F    E8 DCFEFFFF     CALL SKINENGI.00D24030        //F8键运行此Call之后弹出NAG,因此,在之处需按F7键,进入此Call中
00D24154    C2 0400         RETN 4
00D24157    C3              RETN
。。。。。。

    进入 CALL SKINENGI.00D24030 后,来到如下的代码:

。。。。。。
00D24030    55              PUSH EBP
00D24031    8BEC            MOV EBP,ESP
00D24033    53              PUSH EBX
00D24034    56              PUSH ESI
00D24035    57              PUSH EDI
00D24036    A1 40E6DE00     MOV EAX,DWORD PTR DS:[DEE640]
00D2403B    85C0            TEST EAX,EAX
00D2403D    74 4B           JE SHORT SKINENGI.00D2408A
00D2403F    8B30            MOV ESI,DWORD PTR DS:[EAX]
00D24041    33DB            XOR EBX,EBX
00D24043    8B78 04         MOV EDI,DWORD PTR DS:[EAX+4]
00D24046    33D2            XOR EDX,EDX
00D24048    55              PUSH EBP
00D24049    68 7640D200     PUSH SKINENGI.00D24076
00D2404E    64:FF32         PUSH DWORD PTR FS:[EDX]
00D24051    64:8922         MOV DWORD PTR FS:[EDX],ESP
00D24054    3BF3            CMP ESI,EBX
00D24056    7E 14           JLE SHORT SKINENGI.00D2406C
00D24058    8B04DF          MOV EAX,DWORD PTR DS:[EDI+EBX*8]
00D2405B    43              INC EBX                          //在此处按F2键下断点,然后按F9键,一直到 EBX=6D 时,弹出NAG窗口
00D2405C    891D 44E6DE00   MOV DWORD PTR DS:[DEE644],EBX
00D24062    85C0            TEST EAX,EAX
00D24064    74 02           JE SHORT SKINENGI.00D24068
00D24066    FFD0            CALL EAX                         //因此,在 EBX=6C 时,按F8键来到此处,按F7键进入此 Call EAX 中
00D24068    3BF3            CMP ESI,EBX
00D2406A  ^ 7F EC           JG SHORT SKINENGI.00D24058       //开始循环叠加
00D2406C    33C0            XOR EAX,EAX
00D2406E    5A              POP EDX
00D2406F    59              POP ECX
00D24070    59              POP ECX
00D24071    64:8910         MOV DWORD PTR FS:[EAX],EDX
00D24074    EB 14           JMP SHORT SKINENGI.00D2408A
00D24076  ^ E9 59F9FFFF     JMP SKINENGI.00D239D4
00D2407B    E8 50FFFFFF     CALL SKINENGI.00D23FD0
00D24080    E8 27FDFFFF     CALL SKINENGI.00D23DAC
00D24085    E8 76FDFFFF     CALL SKINENGI.00D23E00
00D2408A    5F              POP EDI
00D2408B    5E              POP ESI
00D2408C    5B              POP EBX
00D2408D    5D              POP EBP
00D2408E    C3              RETN
。。。。。。

    在 EBX=6C 时进入 CALL EAX 后,来到如下的代码:

。。。。。。
00DBDC28    55              PUSH EBP
00DBDC29    8BEC            MOV EBP,ESP
00DBDC2B    83C4 F8         ADD ESP,-8
00DBDC2E    832D E472E000 0>SUB DWORD PTR DS:[E072E4],1
00DBDC35    73 57           JNB SHORT SKINENGI.00DBDC8E
00DBDC37    E8 10E3FFFF     CALL SKINENGI.00DBBF4C
00DBDC3C    A1 74B7DB00     MOV EAX,DWORD PTR DS:[DBB774]
00DBDC41    E8 D6F5F7FF     CALL SKINENGI.00D3D21C
00DBDC46    A1 34B9DB00     MOV EAX,DWORD PTR DS:[DBB934]
00DBDC4B    8945 F8         MOV DWORD PTR SS:[EBP-8],EAX
00DBDC4E    A1 ECBBDB00     MOV EAX,DWORD PTR DS:[DBBBEC]
00DBDC53    8945 FC         MOV DWORD PTR SS:[EBP-4],EAX
00DBDC56    8D45 F8         LEA EAX,DWORD PTR SS:[EBP-8]
00DBDC59    BA 01000000     MOV EDX,1
00DBDC5E    E8 29F6F7FF     CALL SKINENGI.00D3D28C
00DBDC63    A1 94DADE00     MOV EAX,DWORD PTR DS:[DEDA94]
00DBDC68    C600 01         MOV BYTE PTR DS:[EAX],1
00DBDC6B    A1 58D7DE00     MOV EAX,DWORD PTR DS:[DED758]
00DBDC70    C700 00C5DB00   MOV DWORD PTR DS:[EAX],SKINENGI.00DBC500
00DBDC76    E8 FDB3FDFF     CALL SKINENGI.00D99078          //F8键运行此Call之后弹出NAG,故将此Call屏蔽 NOP 掉,便可!
00DBDC7B    833D DCD3DE00 0>CMP DWORD PTR DS:[DED3DC],0
00DBDC82    74 0A           JE SHORT SKINENGI.00DBDC8E
00DBDC84    A1 DCD3DE00     MOV EAX,DWORD PTR DS:[DED3DC]
00DBDC89    E8 6658F6FF     CALL SKINENGI.00D234F4
00DBDC8E    59              POP ECX
00DBDC8F    59              POP ECX
00DBDC90    5D              POP EBP
00DBDC91    C3              RETN
。。。。。。

    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!这时可以点击NAG窗口的“Close”按钮进入被编译程序的界面窗口了。!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

    然后点击被编译程序的关闭按钮,这时,程序又中断在了skinengine.dll领空中的 00D268F0 处,按(F8)键一步一步的运行,到如下代码:

。。。。。。
00D268EF    CC              INT3                        //修改后所插入的CC
00D268F0    BA A8B0DE00     MOV EDX,SKINENGI.00DEB0A8   //程序再次中断在了此处
00D268F5    837D 0C 01      CMP DWORD PTR SS:[EBP+C],1
00D268F9    75 2A           JNZ SHORT SKINENGI.00D26925 //跳转成功
00D268FB    50              PUSH EAX
00D268FC    52              PUSH EDX
00D268FD    C605 64E6DE00 0>MOV BYTE PTR DS:[DEE664],1
00D26904    8B4D 08         MOV ECX,DWORD PTR SS:[EBP+8]
00D26907    890D 68E6DE00   MOV DWORD PTR DS:[DEE668],ECX
00D2690D    894A 04         MOV DWORD PTR DS:[EDX+4],ECX
00D26910    C742 08 0000000>MOV DWORD PTR DS:[EDX+8],0
00D26917    C742 0C 0000000>MOV DWORD PTR DS:[EDX+C],0
00D2691E    E8 C1FFFFFF     CALL SKINENGI.00D268E4
00D26923    5A              POP EDX
00D26924    58              POP EAX
00D26925    FF35 6CE6DE00   PUSH DWORD PTR DS:[DEE66C]   //跳到此处
00D2692B    B9 C0B0DE00     MOV ECX,SKINENGI.00DEB0C0
00D26930    E8 5BD7FFFF     CALL SKINENGI.00D24090       //F8键运行此Call之后弹出NAG,因此,在之处需按F7键,进入此Call中
00D26935    C3              RETN
。。。。。。

    进入 CALL SKINENGI.00D24090 后,来到如下的代码:

。。。。。。
00D24090    51              PUSH ECX                                      ; SKINENGI.00DEB0C0
00D24091    56              PUSH ESI
00D24092    57              PUSH EDI
00D24093    BE 38E6DE00     MOV ESI,SKINENGI.00DEE638
00D24098    8D7D C4         LEA EDI,DWORD PTR SS:[EBP-3C]
00D2409B    B9 0B000000     MOV ECX,0B
00D240A0    F3:A5           REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI>
00D240A2    8F05 58E6DE00   POP DWORD PTR DS:[DEE658]
00D240A8    8F05 54E6DE00   POP DWORD PTR DS:[DEE654]
00D240AE    892D 4CE6DE00   MOV DWORD PTR DS:[DEE64C],EBP
00D240B4    891D 50E6DE00   MOV DWORD PTR DS:[DEE650],EBX
00D240BA    A3 40E6DE00     MOV DWORD PTR DS:[DEE640],EAX
00D240BF    8915 48E6DE00   MOV DWORD PTR DS:[DEE648],EDX
00D240C5    8D4D C4         LEA ECX,DWORD PTR SS:[EBP-3C]
00D240C8    890D 38E6DE00   MOV DWORD PTR DS:[DEE638],ECX
00D240CE    31C9            XOR ECX,ECX
00D240D0    837D 0C 00      CMP DWORD PTR SS:[EBP+C],0
00D240D4    75 02           JNZ SHORT SKINENGI.00D240D8
00D240D6    8B08            MOV ECX,DWORD PTR DS:[EAX]
00D240D8    890D 44E6DE00   MOV DWORD PTR DS:[DEE644],ECX
00D240DE    B8 6013D200     MOV EAX,<JMP.&KERNEL32.RaiseException>
00D240E3    A3 14E0DE00     MOV DWORD PTR DS:[DEE014],EAX
00D240E8    B8 6813D200     MOV EAX,<JMP.&KERNEL32.RtlUnwind>
00D240ED    A3 18E0DE00     MOV DWORD PTR DS:[DEE018],EAX
00D240F2    E8 91FEFFFF     CALL SKINENGI.00D23F88
00D240F7    8B45 0C         MOV EAX,DWORD PTR SS:[EBP+C]
00D240FA    40              INC EAX
00D240FB    A2 60E6DE00     MOV BYTE PTR DS:[DEE660],AL
00D24100    48              DEC EAX
00D24101    59              POP ECX
00D24102    8B11            MOV EDX,DWORD PTR DS:[ECX]
00D24104    8915 5CE6DE00   MOV DWORD PTR DS:[DEE65C],EDX
00D2410A    74 07           JE SHORT SKINENGI.00D24113
00D2410C    3C 03           CMP AL,3
00D2410E    7D 03           JGE SHORT SKINENGI.00D24113
00D24110    FF1481          CALL DWORD PTR DS:[ECX+EAX*4]
00D24113    51              PUSH ECX
00D24114    8B4C24 08       MOV ECX,DWORD PTR SS:[ESP+8]
00D24118    85C9            TEST ECX,ECX
00D2411A    74 08           JE SHORT SKINENGI.00D24124
00D2411C    8B45 0C         MOV EAX,DWORD PTR SS:[EBP+C]
00D2411F    8B55 10         MOV EDX,DWORD PTR SS:[EBP+10]
00D24122    FFD1            CALL ECX
00D24124    59              POP ECX
00D24125    8B45 0C         MOV EAX,DWORD PTR SS:[EBP+C]
00D24128    3C 03           CMP AL,3
00D2412A    7C 03           JL SHORT SKINENGI.00D2412F
00D2412C    FF1481          CALL DWORD PTR DS:[ECX+EAX*4]
00D2412F    833D 30E0DE00 0>CMP DWORD PTR DS:[DEE030],0
00D24136    75 0D           JNZ SHORT SKINENGI.00D24145
00D24138    C605 38E0DE00 0>MOV BYTE PTR DS:[DEE038],1
00D2413F    D93D 24B0DE00   FSTCW WORD PTR DS:[DEB024]
00D24145    8B45 0C         MOV EAX,DWORD PTR SS:[EBP+C]
00D24148    48              DEC EAX
00D24149    0F85 91010000   JNZ SKINENGI.00D242E0         //***此处跳转成功!***
00D2414F    E8 DCFEFFFF     CALL SKINENGI.00D24030        //此调用NAG窗口的 Call 不再被运行了!
00D24154    C2 0400         RETN 4
00D24157    C3              RETN
。。。。。。

    由 JNZ SKINENGI.00D242E0 的跳转,来到如下的代码:

。。。。。。
00D242DB    000D 0A000053   ADD BYTE PTR DS:[5300000A],CL
00D242E1    56              PUSH ESI
00D242E2    57              PUSH EDI
00D242E3    55              PUSH EBP
00D242E4    BB 38E6DE00     MOV EBX,SKINENGI.00DEE638
00D242E9    BE 00B0DE00     MOV ESI,SKINENGI.00DEB000
00D242EE    BF 48E0DE00     MOV EDI,SKINENGI.00DEE048
00D242F3    807B 28 00      CMP BYTE PTR DS:[EBX+28],0
00D242F7    75 16           JNZ SHORT SKINENGI.00D2430F
00D242F9    833F 00         CMP DWORD PTR DS:[EDI],0
00D242FC    74 11           JE SHORT SKINENGI.00D2430F
00D242FE    8B17            MOV EDX,DWORD PTR DS:[EDI]
00D24300    89D0            MOV EAX,EDX
00D24302    33D2            XOR EDX,EDX
00D24304    8917            MOV DWORD PTR DS:[EDI],EDX
00D24306    8BE8            MOV EBP,EAX
00D24308    FFD5            CALL EBP
00D2430A    833F 00         CMP DWORD PTR DS:[EDI],0
00D2430D  ^ 75 EF           JNZ SHORT SKINENGI.00D242FE
00D2430F    833D 04B0DE00 0>CMP DWORD PTR DS:[DEB004],0
00D24316    74 11           JE SHORT SKINENGI.00D24329
00D24318    E8 ABFEFFFF     CALL SKINENGI.00D241C8
00D2431D    E8 32FFFFFF     CALL SKINENGI.00D24254
00D24322    33C0            XOR EAX,EAX
00D24324    A3 04B0DE00     MOV DWORD PTR DS:[DEB004],EAX
00D24329    807B 28 02      CMP BYTE PTR DS:[EBX+28],2
00D2432D    75 0A           JNZ SHORT SKINENGI.00D24339
00D2432F    833E 00         CMP DWORD PTR DS:[ESI],0
00D24332    75 05           JNZ SHORT SKINENGI.00D24339
00D24334    33C0            XOR EAX,EAX
00D24336    8943 0C         MOV DWORD PTR DS:[EBX+C],EAX
00D24339    E8 92FCFFFF     CALL SKINENGI.00D23FD0          //F8键运行此Call之后弹出NAG,因此,在之处需按F7键,进入此Call中
00D2433E    807B 28 01      CMP BYTE PTR DS:[EBX+28],1
。。。。。。

    进入 CALL SKINENGI.00D23FD0 后,来到如下的代码:

。。。。。。
00D23FD0    55              PUSH EBP
00D23FD1    8BEC            MOV EBP,ESP
00D23FD3    53              PUSH EBX
00D23FD4    56              PUSH ESI
00D23FD5    57              PUSH EDI
00D23FD6    BF 38E6DE00     MOV EDI,SKINENGI.00DEE638
00D23FDB    8B47 08         MOV EAX,DWORD PTR DS:[EDI+8]
00D23FDE    85C0            TEST EAX,EAX
00D23FE0    74 48           JE SHORT SKINENGI.00D2402A
00D23FE2    8B5F 0C         MOV EBX,DWORD PTR DS:[EDI+C]
00D23FE5    8B70 04         MOV ESI,DWORD PTR DS:[EAX+4]
00D23FE8    33D2            XOR EDX,EDX
00D23FEA    55              PUSH EBP
00D23FEB    68 1640D200     PUSH SKINENGI.00D24016
00D23FF0    64:FF32         PUSH DWORD PTR FS:[EDX]
00D23FF3    64:8922         MOV DWORD PTR FS:[EDX],ESP
00D23FF6    85DB            TEST EBX,EBX
00D23FF8    7E 12           JLE SHORT SKINENGI.00D2400C
00D23FFA    4B              DEC EBX                           //在此处按F2键下断点,然后按F9键,一直到 EBX=6C 时,弹出NAG窗口
00D23FFB    895F 0C         MOV DWORD PTR DS:[EDI+C],EBX
00D23FFE    8B44DE 04       MOV EAX,DWORD PTR DS:[ESI+EBX*8+4]
00D24002    85C0            TEST EAX,EAX
00D24004    74 02           JE SHORT SKINENGI.00D24008
00D24006    FFD0            CALL EAX                          //因此,在 EBX=6D 时,按F8键来到此处,按F7键进入此 Call EAX 中
00D24008    85DB            TEST EBX,EBX
00D2400A  ^ 7F EE           JG SHORT SKINENGI.00D23FFA        //开始循环递减
00D2400C    33C0            XOR EAX,EAX
00D2400E    5A              POP EDX
00D2400F    59              POP ECX
00D24010    59              POP ECX
00D24011    64:8910         MOV DWORD PTR FS:[EAX],EDX
00D24014    EB 14           JMP SHORT SKINENGI.00D2402A
00D24016  ^ E9 B9F9FFFF     JMP SKINENGI.00D239D4
00D2401B    E8 B0FFFFFF     CALL SKINENGI.00D23FD0
00D24020    E8 87FDFFFF     CALL SKINENGI.00D23DAC
00D24025    E8 D6FDFFFF     CALL SKINENGI.00D23E00
00D2402A    5F              POP EDI
00D2402B    5E              POP ESI
00D2402C    5B              POP EBX
00D2402D    5D              POP EBP
00D2402E    C3              RETN
。。。。。。

    在 EBX=6D 时进入 CALL EAX 后,来到如下的代码:

。。。。。。
00DBDBF0    55              PUSH EBP
00DBDBF1    8BEC            MOV EBP,ESP
00DBDBF3    33C0            XOR EAX,EAX
00DBDBF5    55              PUSH EBP
00DBDBF6    68 1CDCDB00     PUSH SKINENGI.00DBDC1C
00DBDBFB    64:FF30         PUSH DWORD PTR FS:[EAX]
00DBDBFE    64:8920         MOV DWORD PTR FS:[EAX],ESP
00DBDC01    FF05 E472E000   INC DWORD PTR DS:[E072E4]
00DBDC07    75 05           JNZ SHORT SKINENGI.00DBDC0E  //跳转不成功
00DBDC09    E8 6AB4FDFF     CALL SKINENGI.00D99078       //F8键运行此Call之后弹出NAG,故将此Call屏蔽 NOP 掉,便可!
00DBDC0E    33C0            XOR EAX,EAX
00DBDC10    5A              POP EDX
00DBDC11    59              POP ECX
00DBDC12    59              POP ECX
00DBDC13    64:8910         MOV DWORD PTR FS:[EAX],EDX
00DBDC16    68 23DCDB00     PUSH SKINENGI.00DBDC23
00DBDC1B    C3              RETN
00DBDC1C  ^ E9 6760F6FF     JMP SKINENGI.00D23C88
00DBDC21  ^ EB F8           JMP SHORT SKINENGI.00DBDC1B
00DBDC23    5D              POP EBP
00DBDC24    C3              RETN
。。。。。。

故,在skinengine.dll中,找到机器码 “E8 FDB3FDFF”    //程序开始的NAG窗口
                              用 “90 90909090”代替
                       找到机器码 “E8 6AB4FDFF”    //程序结束的NAG窗口
                              用 “90 90909090”代替
                                                     

最后,将破解了的skinengine.dll文件拷贝到Windows\system目录中覆盖掉先前被CC过的skinengine.dll文件,即可!

【版权声明】 本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!
2005-11-16


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 7
支持
分享
最新回复 (19)
pendan2001
雪    币: 61
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
2
2005-11-17 02:07
0
acafeel
雪    币: 333
活跃值: (116)
能力值: ( LV9,RANK:570 )
在线值:
发帖
回帖
粉丝
私信
3
这是我在看学发的处女帖哟,不对的地方还请大家多多指正
2005-11-17 02:08
0
pendan2001
雪    币: 61
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
4
继续努力
2005-11-17 02:56
0
founder
雪    币: 200
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
插个int 3断点可以直接在dll入口修改阿.何必那么复杂?

还有NAG窗口只需要把相关的调用屏蔽掉就可以了,SkinMagic跟这个也类似.不过我破解的是lib文件,一劳永逸.呵呵
2005-11-17 10:22
0
acafeel
雪    币: 333
活跃值: (116)
能力值: ( LV9,RANK:570 )
在线值:
发帖
回帖
粉丝
私信
6
我试着在dll入口插了int 3断点,可是就报错了! founder 请大致说说你的思路吧!
2005-11-17 13:33
0
koangel
雪    币: 174
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
1.06版是当EBX=75出现NAG...可是..当74时..我根本CALL不进去特寒~!
2006-2-21 03:16
0
koangel
雪    币: 174
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
我实在无能为力了..
但是非常感谢你...让我学到了很多~!
2006-2-21 04:32
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
9
NAG出现后试试
Alt+E 找到skinengine.dll
右键->跟随入口->下断
Ctrl+F2
2006-2-21 09:08
0
clide2000
雪    币: 301
活跃值: (300)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
私信
10
如果用了这个控件做的程序,发布时需要同时发布这个skinengine.dll文件吗?
2006-2-28 16:37
0
鸡蛋壳
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
作者真是蠢,没想到有人比他....

这也需要破解,1秒不用搞定成企业版.
2006-2-28 17:35
0
菜儿
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
最初由 koangel 发布
我实在无能为力了..
但是非常感谢你...让我学到了很多~!


真是厉害
2006-2-28 18:37
0
cobra1111
雪    币: 231
活跃值: (465)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
最初由 鸡蛋壳 发布
作者真是蠢,没想到有人比他....

这也需要破解,1秒不用搞定成企业版.


高手 指点请
2006-3-1 17:51
0
koangel
雪    币: 174
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
最初由 鸡蛋壳 发布
作者真是蠢,没想到有人比他....

这也需要破解,1秒不用搞定成企业版.


教教我~!
2006-4-26 18:31
0
koangel
雪    币: 174
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
彻底糊涂了...55555555
2006-4-26 18:41
0
moodsky
雪    币: 208
活跃值: (376)
能力值: ( LV12,RANK:330 )
在线值:
发帖
回帖
粉丝
私信
16
留个记号!
2006-4-26 19:45
0
koangel
雪    币: 174
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
17
1.06的算法彻底变了
2006-4-26 19:58
0
jamguo
雪    币: 203
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
18
更本就很好Crack的
2006-4-27 17:41
0
forgot
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
私信
19
nop应该是对齐造成的吧
2006-4-27 19:03
0
bney
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
20
支持一下
2006-4-27 22:14
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//