《API浏览器.net》smc补丁+内存注册机[原创]-软件逆向-看雪-安全社区|安全招聘|kanxue.com

《API浏览器.net》smc补丁+内存注册机[原创]

发表于: 2006-7-12 02:17 14433

《API浏览器.net》smc补丁+内存注册机[原创]

sfind

2006-7-12 02:17

14433

【文章标题】: 《API浏览器.net》+smc补丁+内存注册机
【文章作者】: sfind
【作者邮箱】: sfindyyl@sina.com
【作者主页】: 无
【作者QQ号】: 无
【软件名称】: api浏览器.net V5.1
【软件大小】: 脱后984k
【下载地址】: http://www.bjjr.com.cn/yefan/apinet.exe
【加壳方式】: UPX
【保护方式】: 硬盘序列号==>注册码
【编写语言】: VB
【使用工具】: OD+loadpe+Zd+Mss+VB6.0
【操作平台】: WIN2000/XP
【作者声明】: 其实该软件作者提供免费注册，本人只是急用，没有其他目的。
--------------------------------------------------------------------------------
【软件介绍】: API浏览器.net在原API浏览器实用、方便、可编辑的基础上，整合了VB、VB.net、C#格式的API数据。除此之外API数据达到
            历史新高，函数声明6629条、类型473个、常数33064个、完整的示例901个。为了答谢广大用户对叶帆软件的支持，该浏览器
            一如既往的实行免费发放，欢迎大家使用。
【详细过程】
   最近在学习c#,windows环境下编程当然离不开windows api函数，但是在c#环境下调用api函数比VB还复杂，于是在网上
  找到了这个软件，安装后需要注册，未注册版无法查看API示例，无法最大化窗口，无法编辑和使用Spy功能，开始动手:
  用peid查壳显示是upx1.2，upxshell直接搞定原来是vb写的，本人是菜鸟一只对vb程序更是头痛!但软件的确很使用，
又没有现成的破解版和注册机，没办法硬着头皮上吧:)。C32asm分析了一下没有找到有用的信息，用OD载入软件来到
注册窗口，提示本机标识码“7104662564612851”，打开Mss(一款小巧的内存搜索工具),输入7104662564612851
按ASCII字符串搜索，找到2处地址 00152bc8 00160d3c ，全部在系统领空，看来程序内没有直接保存这个号码,不管它了
直接输入注册码8888888888888888,在找到的两处地方分别下内存访问断点，点确定提示“请重新启动程序以便验证"，程序
竟然没有被断下来，看来软件只是在某处做了个标记在下次程序启动的时候验证，果然用Regmon跟踪到软件写入注册表
的键值"[HKEY_CURRENT_USER\Software\VB and VBA Program Settings\API浏览器\Settings]"下的YFENrolNO键值为我们
刚才输入的假注册码"88888888888888888",重新载入程序下bpx RegOpenKey 运行，还是没断下来，静下心来仔细想想，程序
在写入注册表之前应该要访问硬件编号啊，难道搜索错了吗？于是改为unicode方式用Mss再搜索一下，找到地址"00159bfc"
又在系统领空，下内存访问断点，还没到点确定程序就被断在了Kernel32中


  7C84B0F4 8801          MOV BYTE PTR DS:[ECX],AL //断在此处
  7C84B0F6 0FB702       MOVZX EAX,WORD PTR DS:[EDX]
  7C84B0F9 8A0443       MOV AL,BYTE PTR DS:[EBX+EAX*2]
  7C84B0FC 6A 02          PUSH 2
  7C84B0FE 8806          MOV BYTE PTR DS:[ESI],AL

  这个地址对我们用处不大，一直按f9,数次以后在堆栈中出现了"6510-1D97-7F3C-1D74"，
EAX 00160D54 UNICODE "6510-1D97-7F3C-1D74"
ECX 00000000
EDX 00000026
EBX 660E610E MSVBVM60.__vbaStrCopy
ESP 0012F3F8
EBP 0012F5A0
ESI 00160CD0
EDI 660E60F4 MSVBVM60.__vbaStrMove
EIP 004F8000 a.004F8000

此时断在模块OLEAUT32中：
  770F4CC5 F3:A5          REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI] //ESI内容为"6510-1D97-7F3C-1D74"
  770F4CC7 8BCA          MOV ECX,EDX
  770F4CC9 83E1 03       AND ECX,3
  770F4CCC F3:A4          REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]
  770F4CCE 5F             POP EDI
  770F4CCF  ^ EB BF          JMP SHORT OLEAUT32.770F4C90
  770F4CD1 33C0          XOR EAX,EAX
  770F4CD3  ^ EB C9          JMP SHORT OLEAUT32.770F4C9E

  难道真码出现了吗？？先不管，取消内存断点，Ctrl+F9数次后返回到程序领空：

  004F1A1F .  68 ED1A4F00 PUSH a.004F1AED  //返回到这里此时EAX的值为"6510-1D97-7F3C-1D74"
  004F1A24 .  EB 3C       JMP SHORT a.004F1A62
  004F1A26 .  8B4D F0    MOV ECX,DWORD PTR SS:[EBP-10]
  004F1A29 .  83E1 04    AND ECX,4
  004F1A2C .  85C9       TEST ECX,ECX
  004F1A2E .  74 0C       JE SHORT a.004F1A3C

  往上看：
  004F1A09 > \C745 FC 71000>MOV DWORD PTR SS:[EBP-4],71
  004F1A10 .  8B55 B0    MOV EDX,DWORD PTR SS:[EBP-50]
  004F1A13 .  8D8D 10FFFFFF LEA ECX,DWORD PTR SS:[EBP-F0]
  004F1A19 .  FF15 B4114000 CALL DWORD PTR DS:[<&MSVBVM60.__vbaStrCopy>] //刚才我们就是从这里返回的
  004F1A1F .  68 ED1A4F00 PUSH a.004F1AED
  004F1A24 .  EB 3C       JMP SHORT a.004F1A62


  把 004F1A1F 这个可疑地址记下来，重新打开注册窗口输入注册码6510-1D97-7F3C-1D74，注册成功(狗戴帽子--碰中了)！！！
  至此本机注册功能已经实现了，但是还不能算完全破解，至少要写个注册机，现在已经在内存中发现了真码那写个内存注册机
  就简单了，用keymake做内存注册机比较简单就不说了，下面我们用VB自己写一个内存注册机，希望以下的文字对那些自己想写
  内存注册机的朋友或是想写游戏修改的朋友有所帮助。

  重新载入软件，在刚才记住的那个地址004F1A1F处下断点，运行：

  关键代码：
  004F1A10 .  8B55 B0    MOV EDX,DWORD PTR SS:[EBP-50]
  004F1A13 .  8D8D 10FFFFFF LEA ECX,DWORD PTR SS:[EBP-F0]
  004F1A19 .  FF15 B4114000 CALL DWORD PTR DS:[<&MSVBVM60.__vbaStrCopy>]    ;  MSVBVM60.__vbaStrCopy
  004F1A1F .  68 ED1A4F00 PUSH a.004F1AED                //此时EAX的内容就是关键数据存放的地址

  第一次断在004F1A1F的时候：硬件编号：7104662564612851 出现在EAX所指向地址中 F9继续：
  第二才断在004F1A1F的时候我们的注册码 6510-1D97-7F3C-1D74 出现在EAX所指向地址中

  算法部分应该就在下面了，有兴趣的朋友可以跟一下，我们继续完成内存注册机的制作：

  经过观察发现EAX中的地址不是固定的，但要从内存中把注册码读出来我们需要一个固定的地方来保存真码的地址，我们可以从这里
  开始跳到我们的代码处，把地址保存起来，然后再跳回来，打开Zeroadd,输入新增块名sfind,大小1000，保存，用loadpe打开
  刚才的文件，VirtualOffset=000f8000 我们的领空就等于imageBase+VirtualOffset=004f8000 修改代码如下：


  004F1A19 .  FF15 B4114000 CALL DWORD PTR DS:[<&MSVBVM60.__vbaStrCopy>]
  004F1A1F .  68 ED1A4F00 PUSH a.004F1AED
  004F1A24 .  EB 3C       JMP a.004f8000 //跳到我们的代码处

  我们的代码：
  004F8000 A3 00814F00    MOV DWORD PTR DS:[4F8100],EAX //保存真码地址
  004F8005 68 ED1A4F00    PUSH a.004F1AED                //恢复被破坏的指令
  004F800A  - E9 159AFFFF    JMP a.004F1A24                //跳回原来的代码处

  至此程序修改完毕，我们直接读取4f8100处就能得到真码的地址，开始用vb写吧

  'API函数申明
  Private Declare Function FindWindow Lib "user32" Alias "FindWindowA" (ByVal lpClassName As String,
  _ByVal lpWindowName As String) As Long
  Private Declare Function GetWindowThreadProcessId Lib "user32" (ByVal hWnd As Long,
  _lpdwProcessId As Long) As Long
  Private Declare Function OpenProcess Lib "kernel32" (ByVal dwDesiredAccess As Long, ByVal
  _bInheritHandle As Long, ByVal dwProcessId As Long) As Long
  Private Declare Function ReadProcessMemory Lib "kernel32" (ByVal hProcess As Long, ByVal
  _lpBaseAddress As Any, lpBuffer As Any, ByVal nSize As Long,
  _lpNumberOfBytesWritten As Long) As Long
  '定义访问权限常量
  Private Const PROCESS_ALL_ACCESS = &H1F0FFF

  Private Sub Form_Load()
Dim hWnd As Long, hProcess As Long, pid As Long, address As Long, readBuf As Long
Dim i As Integer

   hWnd = FindWindow(vbNullString, "API浏览器.net")                '查找程序是否运行
   If hWnd = 0 Then
   MsgBox "请先运行API浏览器再运行本程序", vbCritical, "失败 "
   Else
   GetWindowThreadProcessId hWnd, pid                            '根据窗口句柄返回线程ID
   hProcess = OpenProcess(PROCESS_ALL_ACCESS, False, pid)       '打开进程
   ReadProcessMemory hProcess, &H4F8100, address, 4, 0&          '读取我们在程序中保存真码地址
   For i = 1 To 20                                              '从地址中取出真码
   ReadProcessMemory hProcess, address, readBuf, 1, 0&
   address = address + 2                                        '因为程序是以Unicode保存所以必须+2
   Text1 = Text1 & Chr(readBuf)
   Next i
   End If
  End Sub

WriteProcessMemory的用法跟ReadProcessMemory的用法差不多，这可是游戏修改的法宝哦，希望大家都能掌握！！！

  在论坛混了一年多了，以前总是在提问，这是第一次发表文章，希望对所有新手有所帮助，本人实属菜鸟希望各位大侠不要
  见笑！本来想把修改好的程序和内存注册机源代码上传但是权限不够：）


--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                   2006年07月11日 22:49:53

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

附件.rar （132.69kb，131次下载）

收藏・2

免费・7

支持

最新回复 (16)
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 2 楼呵呵，不错啊。。。。。。。。。。。。。支持奇怪，我用 OD 加载，F9 运行可是程序没出现窗体（我已脱壳）怪 2006-7-12 08:41 0
网络游魂雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 52 粉丝 0 关注私信	网络游魂 3 楼支持一下． 2006-7-12 08:45 0
bfqyygy 雪币： 338 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 523 粉丝 0 关注私信	bfqyygy 1 4 楼不错呀!! 2006-7-12 12:35 0
雷与风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	雷与风 5 楼看过了努力学习一下 2006-7-12 12:53 0
zykoo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	zykoo 6 楼努力学习,超越楼主,感谢分享 2006-7-12 14:10 0
linhanshi 雪币： 97697 活跃值： (200829) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 7 楼 sustain. 2006-7-12 15:53 0
marcoak 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 80 粉丝 0 关注私信	marcoak 8 楼这个工具好是好就是运行还要安装VB6,2005都不吃.我现在把它的数据库恢复成ACCESS数据库,里面只有VB的声明.不知道C#和VB.NET的声明在那里. 2006-7-12 21:37 0
sfind 雪币： 217 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 65 粉丝 1 关注私信	sfind 1 9 楼 c#的声明是程序转换的，不在数据库里面 2006-7-13 14:13 0
扎西雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	扎西 10 楼观摩中，非常感谢楼主 2006-7-13 19:14 0
zyhxhw 雪币： 434 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 113 粉丝 0 关注私信	zyhxhw 11 楼谢谢,你又让你长了一点见识,这就是用内存搜索器mms寻找地方,然后下断点!真不错! 2006-7-13 20:14 0
zhonsir 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	zhonsir 12 楼学到不少,顶 2006-7-13 21:01 0
不来了雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	不来了 13 楼楼主不错，学习一下，东西也要哦，呵呵 2006-7-14 08:51 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 14 楼 SMC破解有问题 2006-7-14 10:38 0
ncwznet 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ncwznet 15 楼 hehe ,let me have a look 2006-7-14 20:48 0
sfind 雪币： 217 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 65 粉丝 1 关注私信	sfind 1 16 楼最初由鸡蛋壳* 发布* SMC破解有问题啥问题？ 2006-7-14 22:37 0
风过果落雪币： 56 活跃值： (242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 87 粉丝 0 关注私信	风过果落 17 楼这个数据库是什么格式的?怎么转换? 2023-8-3 15:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sfind

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 2 楼呵呵，不错啊。。。。。。。。。。。。。支持奇怪，我用 OD 加载，F9 运行可是程序没出现窗体（我已脱壳）怪 2006-7-12 08:41 0
网络游魂雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 52 粉丝 0 关注私信	网络游魂 3 楼支持一下． 2006-7-12 08:45 0
bfqyygy 雪币： 338 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 523 粉丝 0 关注私信	bfqyygy 1 4 楼不错呀!! 2006-7-12 12:35 0
雷与风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	雷与风 5 楼看过了努力学习一下 2006-7-12 12:53 0
zykoo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	zykoo 6 楼努力学习,超越楼主,感谢分享 2006-7-12 14:10 0
linhanshi 雪币： 97697 活跃值： (200829) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 7 楼 sustain. 2006-7-12 15:53 0
marcoak 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 80 粉丝 0 关注私信	marcoak 8 楼这个工具好是好就是运行还要安装VB6,2005都不吃.我现在把它的数据库恢复成ACCESS数据库,里面只有VB的声明.不知道C#和VB.NET的声明在那里. 2006-7-12 21:37 0
sfind 雪币： 217 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 65 粉丝 1 关注私信	sfind 1 9 楼 c#的声明是程序转换的，不在数据库里面 2006-7-13 14:13 0
扎西雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	扎西 10 楼观摩中，非常感谢楼主 2006-7-13 19:14 0
zyhxhw 雪币： 434 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 113 粉丝 0 关注私信	zyhxhw 11 楼谢谢,你又让你长了一点见识,这就是用内存搜索器mms寻找地方,然后下断点!真不错! 2006-7-13 20:14 0
zhonsir 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	zhonsir 12 楼学到不少,顶 2006-7-13 21:01 0
不来了雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	不来了 13 楼楼主不错，学习一下，东西也要哦，呵呵 2006-7-14 08:51 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 14 楼 SMC破解有问题 2006-7-14 10:38 0
ncwznet 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ncwznet 15 楼 hehe ,let me have a look 2006-7-14 20:48 0
sfind 雪币： 217 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 65 粉丝 1 关注私信	sfind 1 16 楼最初由鸡蛋壳* 发布* SMC破解有问题啥问题？ 2006-7-14 22:37 0
风过果落雪币： 56 活跃值： (242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 87 粉丝 0 关注私信	风过果落 17 楼这个数据库是什么格式的?怎么转换? 2023-8-3 15:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复