一、简介  

【郑重声明】：本文只为技术而破解，纯属技术交流, 请勿用于非法用途。  
【软件名称】：国产外挂
【下载页面】：
【软件简介】：外挂
【调试环境】：Win2000 SP4、ODbyDYK、PEID0.93
【软件限制】：3天使用限制，无功能限制

1.脱壳
  用PEID0.93查看主程序，壳为UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
Ollydbg载入主程序：
008ACA70 X>  60                  pushad 载入程序后停在这里，F8一次
008ACA71     BE 00307F00         mov esi,XX外挂.007F3000  到这里，这时查看寄存器窗口
008ACA76     8DBE 00E0C0FF       lea edi,dword ptr ds:[esi+FFC0E000]
008ACA7C     57                  push edi
008ACA7D     83CD FF             or ebp,FFFFFFFF
008ACA80     EB 10               jmp short XX外挂.008ACA92
\\\\\\\\\\\\\\\寄存器\\\\\\\\\\\\\\\\
EAX 00000000
ECX 01010101
EDX FFFFFFFF
EBX 7FFDF000
ESP 0012FFA4
EBP 0012FFF0
ESI 00000000
EDI 00000000
EIP 008ACA71 XX外挂.008ACA71
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
根据ESP定律规则，现在在命令栏中下 hr 0012ffa4 命令，回车，F9运行：

008ACBD3    .- E9 70DBC2FF       jmp XX外挂.004DA748 这里断下这里004DA748所指的就是OEP
008ACBD8       F0CB8A00          dd XX外挂.008ACBF0
008ACBDC       00CC8A00          dd XX外挂.008ACC00
008ACBE0       10274F00          dd XX外挂.004F2710
008ACBE4       00                db 00

004DA748     55                  push ebp在这儿用LordPE完全DUMP这个进程
004DA749     8BEC                mov ebp,esp
004DA74B     83C4 F0             add esp,-10
004DA74E     B8 48A44D00         mov eax,XX外挂.004DA448
004DA753     E8 DCC4F2FF         call XX外挂.00406C34
004DA758     A1 B4114F00         mov eax,dword ptr ds:[4F11B4]
004DA75D     8B00                mov eax,dword ptr ds:[eax]
004DA75F     E8 18C4F8FF         call XX外挂.00466B7C
脱壳修复：

运行ImportREC 1.6，选择这个进程，把OEP改为 000DA748 ，点ITAutoSearch，指针全部有效。FixDump！
(呵呵以上别人说的俺拿来用用哈)

运行后弹出提示对话框,程序自校验错误
Ollydbg重新载入脱壳后文件
004DA748 X>  55                  push ebp
004DA749     8BEC                mov ebp,esp
004DA74B     83C4 F0             add esp,-10
004DA74E     B8 48A44D00         mov eax,XX外挂.004DA448
004DA753     E8 DCC4F2FF         call XX外挂.00406C34
不看反编码,直接字符串参考,在文本字符串里找对话框里的文本内容

004C9C8E     MOV EDX,XX外挂.004CA0A4   程序自校验错误(在这里呵呵)回车进来

004C9C55    /74 55               je short XX外挂.004C9CAC 关键跳,跳不出去就死里面了,那我就跳吧,改成 JMP short 004C9CAC
004C9C57    |833D 40B97E00 00    cmp dword ptr ds:[7EB940],0
004C9C5E    |75 27               jnz short XX外挂.004C9C87
004C9C60    |6A 40               push 40
004C9C62    |B9 4CA04C00         mov ecx,XX外挂.004CA04C
004C9C67    |BA 58A04C00         mov edx,XX外挂.004CA058
004C9C6C    |A1 B4114F00         mov eax,dword ptr ds:[4F11B4]
004C9C71    |8B00                mov eax,dword ptr ds:[eax]
004C9C73    | E8 2CD1F9FF        call XX外挂.00466DA4
004C9C78    | 8B83 28040000      mov eax,dword ptr ds:[ebx+428]
004C9C7E    | B2 01              mov dl,1
004C9C80    | E8 6B40F7FF        call XX外挂.0043DCF0
004C9C85    | EB 25              jmp short XX外挂.004C9CAC
004C9C87    | 6A 40              push 40
004C9C89    | B9 4CA04C00        mov ecx,XX外挂.004CA04C
004C9C8E    |  BA A4A04C00       mov edx,XX外挂.004CA0A4    自校验
004C9C93    | A1 B4114F00        mov eax,dword ptr ds:[4F11B4]
004C9C98    |8B00                mov eax,dword ptr ds:[eax]
004C9C9A    | E8 05D1F9FF        call XX外挂.00466DA4
004C9C9F    | 8B83 28040000      mov eax,dword ptr ds:[ebx+428]
004C9CA5    | B2 01              mov dl,1
004C9CA7    | E8 4440F7FF        call XX外挂.0043DCF0
004C9CAC    \ 6A 00              push 0
004C9CAE     8BC3                mov eax,ebx
004C9CB0     E8 273AF8FF         call XX外挂.0044D6DC
004C9CB5     50                  push eax
004C9CB6     E8 5DD8F3FF         call <jmp.&user32.GetWindow>
004C9CBB     8BC8                mov ecx,eax
保存,在运行OK了.去除使用限制俺就不写了,俺也不会发破解版,如果作者看到请谅解,看不到就最好了嘿嘿.

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)