-
-
作弊,无KEY快脱EXECryptor二次加密、需要注册的程序
-
发表于:
2005-12-24 16:20
5477
-
作弊,无KEY快脱EXECryptor二次加密、需要注册的程序
由于涉及巨牛,弄不好是要推到菜市口去的,所以我尽量简单写,尽量不说清楚,大家看个意思。
1。过EXECryptor
LOVEBOOM介绍过一种方法,这里换一种。把OD用带驱动的Themida加壳,再配合看雪老大的插件,EXECryptor就可以直接调试了。
2。跟踪、DUMP
载入
01830E00 > B8 00000000 mov eax,0
这里是伪装
0183132B 9C pushfd
这里是北斗
01822000 55 push ebp
这里是乱写的,为什么会这样就不知道了.
01821BF8 E8 F7FEFFFF call XXXXXXX.01821AF4
这里俺不认得
之后就到EXECryptor的地盘了,不忽略EXECryptor的典型异常,注意LoadLibraryA,待DLL文件加载完毕。此时溜达着看看
00401000 - FF25 14997E00 jmp dword ptr ds:[7E9914] ; sewl2.System::GetMem
代码已经解开,DUMP,输入表也可以抓出来了。难以理解把,此时还没有叫注册,但代码已经解开.说明是先解码,再破坏,并创建注册线程,EXECryptor的BUG。当然,一但提示注册也就挂了,有没有调试都挂,注册窗口瞬间消失,真是奇怪.
3。作弊去OEP
勤快的可以继续跟踪,慢慢到OEP。本人属于懒的要死的,所以我作弊。原程序使用里虚拟机,所以EXECryptor的OEP盗取就可以忽略了,至多也就盗一行。拿出原程序,连接器版本2。25,是D的程序。D有一个固定框架,为我们作弊提供了方便。原程序也是加了壳的,曾经是一个神话,但现在是凤凰拔毛不如鸡了。OD载入,内存段点,GetModuleHandleA,从堆栈找返回。虚拟机和VM的很像,也许是花银子买来的吧。往上看,第一个PUSH XXXXXXX JMP XXXXXXXX就是入口。对一下DUMP文件,没少,直接修复。
4。XXXXXXXX
由于DUMP的时机不同,可能会产生不一样的问题。我遇到的是重定位问题,但文件比较大,修复要好久,反复几次会死人的,所以直接加点便便。
看不懂也很正常,不用问是什么,只要知道如何过EXECryptor和小心使用EXECryptor的注册就行了。
祝平安夜愉快。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课