-
-
[原创]初次破解成功,庆祝一下(奇怪的ARM??)
-
发表于: 2006-6-25 20:29
-
小弟初学破解,初来宝地,初发帖,请各位大侠多多指点,谢谢!
前些天看到有3D的桌面视觉效果软件的贴图,觉得也想赶一下潮流,于是网上搜了一下“3D Desktop”,搜出了一堆东东。个人觉得3D桌面效果好的是3DNA(www.3dna.net),非常花哨但是不实用。SphereXP(www.hamar.sk/sphere)既不花哨也不实用。Spaces(http://www.download.com/Spaces-3D-Desktop-for-Windows/3000-2340_4-10225389.html)朴素但是很顺手,效果也不错。
后来发现SphereXP和Spaces都没有注册码放出来(太烂了没人稀罕破解?),特别是Spaces,只能用14天,而且不能改时间,所以就萌发了Crack的念头。。。。,破解成功之余,把过程贴出来和大家分享,好了,不?嗦了,HERE WE GO:
SphereXP使用.Net Framework 2.0 开发,还处于测试阶段(测试还敢要注册码!),如果用IDA Pro反向一下,可以发现其实使用的是MD5 Hash,very easy,但是我直接改了程序的MSIL Code,直接跳出检测函数,所以可以用任意注册码。(奇怪的是为什么.Net Framework 2.0没有代码校验机制??)推荐工具:IDA Pro 4.6,M$自带的反向工具ildasm.exe。这里就不赘述了:)
说说Spaces(图0),小弟没有破过任何“壳”,刚开始试图使用SoftICE跟踪(在XPSp2下可以,2000下提示发现Debuger),后来发现算法及其复杂,看起来是用用户名和SN还有一个KEY一起做校验,走了个大弯路,汗。。
后来发现了一些特征字符串,比如“FIXCLOCK”、“ARMACCESS”,上网一查,原来是一个叫Armadillo的保护软件作祟,于是才想起脱壳,拜读了诸位大侠的脱文,知道了N多术语和破法,受益良多。自己动手用PEID查了一下发现是Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks,信心大增!!于是用OD跟踪试图查找“Magic JMP”,发现根本没有,打击打击!试着用PELord Dump并且用ImportREC修正IAT,结果根本跑不起来,发现程序老是引用003CXXXX的地址。于是在OD中检查这一段地址是何方神圣,结果Dump出一个隐藏的DLL来(事实上不是真正的DLL,因为所有的地址都是绝对地址,所以必然要被Load到003C0000处!)如图1:
研究该文件发现导出了一系列函数(如图2),初步判断是用来校验SN的一些函数,以后的1天内都花在用IDA解读该DLL上了,后来证明又走了弯路。
B]
第三天,忽然想到既然使用该DLL,为什么不检查一下IAT,结果出乎意料,当程序停止在OEP的时候,IAT大部分都没有加密(似乎和ARM脱文里描述的不一样),而是把一些Entry给替换了,如图3。
所以就自然地想到如果把它们替换回来,直接用PELord Dump并且用ImportREC修正IAT也许可行。难点在于究竟被替换的是何函数?想到既然是替换,那么替换后的函数必然和正统函数有相同的调用接口和功能,而且我们已经知道被替换的是在哪一个系统DLL中,并且我们有了Dump出来的Dll包含这些替换函数的代码。在IDA的强大静态代码解释和OD的强大动态跟踪能力下,这些Entry被一一破解,有:
kernel32.LoadLibraryA
kernel32.GetProcAddress
kernel32.FreeLibrary
user32.MessageBoxA
user32.DialogBoxParamA
等等等
停在OEP,手动改回来IAT之后,用PELord Dump并且用ImportREC修正IAT,OK!!!唯一不爽的是用户名始终是“Default User”。改进办法很简单,我发现这个字符串读取自环境变量“ALTUSERNAME”,所以可以在00401000的无用代码处写一段Code改写这个环境变量,然后Call我们的OEP就可以了,哈哈。
自此,终于赶在14天期限之前用上了“正版”的Spaces
前些天看到有3D的桌面视觉效果软件的贴图,觉得也想赶一下潮流,于是网上搜了一下“3D Desktop”,搜出了一堆东东。个人觉得3D桌面效果好的是3DNA(www.3dna.net),非常花哨但是不实用。SphereXP(www.hamar.sk/sphere)既不花哨也不实用。Spaces(http://www.download.com/Spaces-3D-Desktop-for-Windows/3000-2340_4-10225389.html)朴素但是很顺手,效果也不错。
后来发现SphereXP和Spaces都没有注册码放出来(太烂了没人稀罕破解?),特别是Spaces,只能用14天,而且不能改时间,所以就萌发了Crack的念头。。。。,破解成功之余,把过程贴出来和大家分享,好了,不?嗦了,HERE WE GO:
SphereXP使用.Net Framework 2.0 开发,还处于测试阶段(测试还敢要注册码!),如果用IDA Pro反向一下,可以发现其实使用的是MD5 Hash,very easy,但是我直接改了程序的MSIL Code,直接跳出检测函数,所以可以用任意注册码。(奇怪的是为什么.Net Framework 2.0没有代码校验机制??)推荐工具:IDA Pro 4.6,M$自带的反向工具ildasm.exe。这里就不赘述了:)
说说Spaces(图0),小弟没有破过任何“壳”,刚开始试图使用SoftICE跟踪(在XPSp2下可以,2000下提示发现Debuger),后来发现算法及其复杂,看起来是用用户名和SN还有一个KEY一起做校验,走了个大弯路,汗。。
后来发现了一些特征字符串,比如“FIXCLOCK”、“ARMACCESS”,上网一查,原来是一个叫Armadillo的保护软件作祟,于是才想起脱壳,拜读了诸位大侠的脱文,知道了N多术语和破法,受益良多。自己动手用PEID查了一下发现是Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks,信心大增!!于是用OD跟踪试图查找“Magic JMP”,发现根本没有,打击打击!试着用PELord Dump并且用ImportREC修正IAT,结果根本跑不起来,发现程序老是引用003CXXXX的地址。于是在OD中检查这一段地址是何方神圣,结果Dump出一个隐藏的DLL来(事实上不是真正的DLL,因为所有的地址都是绝对地址,所以必然要被Load到003C0000处!)如图1:
研究该文件发现导出了一系列函数(如图2),初步判断是用来校验SN的一些函数,以后的1天内都花在用IDA解读该DLL上了,后来证明又走了弯路。
B]
第三天,忽然想到既然使用该DLL,为什么不检查一下IAT,结果出乎意料,当程序停止在OEP的时候,IAT大部分都没有加密(似乎和ARM脱文里描述的不一样),而是把一些Entry给替换了,如图3。
所以就自然地想到如果把它们替换回来,直接用PELord Dump并且用ImportREC修正IAT也许可行。难点在于究竟被替换的是何函数?想到既然是替换,那么替换后的函数必然和正统函数有相同的调用接口和功能,而且我们已经知道被替换的是在哪一个系统DLL中,并且我们有了Dump出来的Dll包含这些替换函数的代码。在IDA的强大静态代码解释和OD的强大动态跟踪能力下,这些Entry被一一破解,有:
kernel32.LoadLibraryA
kernel32.GetProcAddress
kernel32.FreeLibrary
user32.MessageBoxA
user32.DialogBoxParamA
等等等
停在OEP,手动改回来IAT之后,用PELord Dump并且用ImportREC修正IAT,OK!!!唯一不爽的是用户名始终是“Default User”。改进办法很简单,我发现这个字符串读取自环境变量“ALTUSERNAME”,所以可以在00401000的无用代码处写一段Code改写这个环境变量,然后Call我们的OEP就可以了,哈哈。
自此,终于赶在14天期限之前用上了“正版”的Spaces
|
|
|---|---|
|
|
|
|
|
没下文了?
|
|
|
|
|
|
|
|
|
向牛人学习
|
|
|
|
|
|
学习!学习!
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
强人```偶太菜 看的晕忽忽的
|
|
|
|
|
|
|
|
|
继续努力学习ing~~~
|
