首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[讨论]关于GS-MH系列狗壳的试用时间限制
发表于: 2006-9-28 13:57 4800

[讨论]关于GS-MH系列狗壳的试用时间限制

北溟 活跃值
2006-9-28 13:57
4800
手上有一个软件,加的是彩虹天地TDSD GS-MH系列加密狗狗壳。无狗在狗壳试用期内正常运行。(探测结果如下:找到了北京彩虹天地TDSD GS-MH系列加密狗狗壳! 说明 此种狗壳是北京彩虹天地加密狗生成的外壳花指令是他的特点!狗壳还原段时密码只有一组!保护强度一般!)
因为我水平有限,脱壳恐怕无法做到,于是就想将狗壳的试用时间限制给去掉。可是我在咱们论坛查询了很多相关帖子,特别是有位前辈提供了下面这个链接http://www.pediy.com/crackme/crackme02.htm,可是此狗依旧岿然不动,下面是.gtide段开头的部分代码,我怀疑读狗部分就在此处,不知道哪位前辈肯指点后辈一二? 不需要脱壳,只想把时间限制给去掉。如能提供点思路给俺,俺感激不尽!
005C6041    50              push    eax
005C6042    E8 D64C0000     call    005CAD1D
005C6047    83C4 04         add     esp, 4
005C604A    8945 F0         mov     [ebp-10], eax
005C604D    FF75 20         push    dword ptr [ebp+20]
005C6050    FF75 1C         push    dword ptr [ebp+1C]
005C6053    FF75 18         push    dword ptr [ebp+18]
005C6056    FF75 14         push    dword ptr [ebp+14]
005C6059    FF75 10         push    dword ptr [ebp+10]
005C605C    FF75 0C         push    dword ptr [ebp+C]
005C605F    FF75 08         push    dword ptr [ebp+8]
005C6062    FF15 74225E00   call    [<&kernel32.CreateFileA>]              ; kernel32.CreateFileA
005C6068    8945 EC         mov     [ebp-14], eax
005C606B    837D F0 01      cmp     dword ptr [ebp-10], 1
005C606F    0F8C 8B010000   jl      005C6200
005C6075    837D EC FF      cmp     dword ptr [ebp-14], -1
005C6079    0F84 81010000   je      005C6200
005C607F    C745 E8 0000000>mov     dword ptr [ebp-18], 0
005C6086    EB 03           jmp     short 005C608B
005C6088    FF45 E8         inc     dword ptr [ebp-18]
005C608B    837D E8 1E      cmp     dword ptr [ebp-18], 1E
005C608F    0F8D 6B010000   jge     005C6200

下了系统时间断点,其实我已经找到了判断狗的时间部分,修改跳转后虽然程序运行路径正确,但程序一运行就退出。最关键的代码如下,可能有部分花指令。

005C9A00    90              nop
005C9A01    75 03           jnz     short 005C9A06
005C9A03    74 01           je      short 005C9A06
005C9A05    B0 83           mov     al, 83
005C9A06    833D DE055E00 0>cmp     dword ptr [5E05DE], 0
005C9A07    3D DE055E00     cmp     eax, 005E05DE
005C9A0C    000F            add     [edi], cl
005C9A0E    841B            test    [ebx], bl
005C9A10    0200            add     al, [eax]
005C9A12    0079 03         add     [ecx+3], bh
005C9A15    78 01           js      short 005C9A18
005C9A17    C0E8 D3         shr     al, 0D3
005C9A18    E8 D30B0000     call    005CA5F0 ---------------调用读狗判断程序
005C9A1A    0B00            or      eax, [eax]
005C9A1C    0089 8568FBFF   add     [ecx+FFFB6885], cl
005C9A1D    8985 68FBFFFF   mov     [ebp-498], eax
005C9A23    79 03           jns     short 005C9A28
005C9A24    0378 01         add     edi, [eax+1]
005C9A25    78 01           js      short 005C9A28
005C9A27    D183 BD68FBFF   rol     dword ptr [ebx+FFFB68BD], 1
005C9A2D    FF00            inc     dword ptr [eax]
005C9A2F    74 1F           je      short 005C9A50--------跳到005C9A50正常运行
005C9A31    E8 061B0000     call    005CB53C-------------调用弹出对话框,显示“找不到硬件狗”
005C9A36    79 03           jns     short 005C9A3B
005C9A38    78 01           js      short 005C9A3B
005C9A3A    03C7            add     eax, edi
005C9A3C    05 C0065E00     add     eax, 005E06C0
005C9A41    0100            add     [eax], eax
005C9A43    0000            add     [eax], al
005C9A45    68 FFFF0000     push    0FFFF
005C9A4A    FF15 44225E00   call    [<&kernel32.ExitProcess>]              ; kernel32.ExitProcess
005C9A50    FF15 34225E00   call    [<&kernel32.GetCommandLineA>]          ; kernel32.GetCommandLineA

下面是进入call    005CA5F0 之后的代码,对于下面这段代码,正常运行和超期之后运行两者走的路径不同,修改跳转之后,虽然路径相同了,但程序既不提示没狗,也不正常运行,这一点最让我头疼:

005CA5F0    55              push    ebp
005CA5F1    8BEC            mov     ebp, esp
005CA5F3    83EC 3C         sub     esp, 3C
005CA5F6    53              push    ebx
005CA5F7    56              push    esi
005CA5F8    57              push    edi
005CA5F9    C745 CC 0000000>mov     dword ptr [ebp-34], 0
005CA600    833D 84005E00 0>cmp     dword ptr [5E0084], 0
005CA607    0F84 27010000   je      005CA734
005CA60D    C745 D4 724102C>mov     dword ptr [ebp-2C], CF024172
005CA614    8175 D4 3524768>xor     dword ptr [ebp-2C], 83762435
005CA61B    C745 D8 5A4717E>mov     dword ptr [ebp-28], EF17475A
005CA622    8175 D8 3524768>xor     dword ptr [ebp-28], 83762435
005CA629    C745 DC 614D1BE>mov     dword ptr [ebp-24], E61B4D61
005CA630    8175 DC 3524768>xor     dword ptr [ebp-24], 83762435
005CA637    C745 E0 0000000>mov     dword ptr [ebp-20], 0
005CA63E    68 C8065E00     push    005E06C8                               ; ASCII "KERNEL32.DLL"
005CA643    FF15 BC225E00   call    [<&kernel32.LoadLibraryA>]             ; kernel32.LoadLibraryA
005CA649    8945 F8         mov     [ebp-8], eax
005CA64C    8D45 D4         lea     eax, [ebp-2C]
005CA64F    50              push    eax----------------ASCII"kernel32.GetLocalTime"
005CA650    8B45 F8         mov     eax, [ebp-8]
005CA653    50              push    eax
005CA654    FF15 1C225E00   call    [<&kernel32.GetProcAddress>]           ; kernel32.GetProcAddress
005CA65A    8945 C4         mov     [ebp-3C], eax
005CA65D    837D C4 00      cmp     dword ptr [ebp-3C], 0
005CA661    75 0A           jnz     short 005CA66D
005CA663    B8 01000000     mov     eax, 1
005CA668    E9 46010000     jmp     005CA7B3
005CA66D    8D45 E8         lea     eax, [ebp-18]
005CA670    50              push    eax
005CA671    FF55 C4         call    [ebp-3C]
005CA674    83C4 04         add     esp, 4
005CA677    8B45 F8         mov     eax, [ebp-8]
005CA67A    50              push    eax
005CA67B    FF15 38225E00   call    [<&kernel32.FreeLibrary>]              ; kernel32.FreeLibrary
005CA681    A1 24005E00     mov     eax, [5E0024]
005CA686    3305 36005E00   xor     eax, [5E0036]
005CA68C    8945 D0         mov     [ebp-30], eax
005CA68F    8B45 E8         mov     eax, [ebp-18]
005CA692    25 FFFF0000     and     eax, 0FFFF
005CA697    8B4D D0         mov     ecx, [ebp-30]
005CA69A    C1E9 10         shr     ecx, 10
005CA69D    3BC1            cmp     eax, ecx
005CA69F    75 54           jnz     short 005CA6F5
005CA6A1    33C0            xor     eax, eax
005CA6A3    66:8B45 EA      mov     ax, [ebp-16]
005CA6A7    8B4D D0         mov     ecx, [ebp-30]
005CA6AA    C1E9 08         shr     ecx, 8
005CA6AD    83E1 0F         and     ecx, 0F
005CA6B0    3BC1            cmp     eax, ecx
005CA6B2    75 1C           jnz     short 005CA6D0
005CA6B4    33C0            xor     eax, eax
005CA6B6    66:8B45 EE      mov     ax, [ebp-12]
005CA6BA    8B4D D0         mov     ecx, [ebp-30]
005CA6BD    81E1 FF000000   and     ecx, 0FF
005CA6C3    3BC1            cmp     eax, ecx
005CA6C5    77 09           ja      short 005CA6D0
005CA6C7    C745 CC 0100000>mov     dword ptr [ebp-34], 1
005CA6CE    EB 23           jmp     short 005CA6F3
005CA6D0    33C0            xor     eax, eax
005CA6D2    66:8B45 EA      mov     ax, [ebp-16]
005CA6D6    8B4D D0         mov     ecx, [ebp-30]
005CA6D9    C1E9 08         shr     ecx, 8
005CA6DC    83E1 0F         and     ecx, 0F
005CA6DF    3BC1            cmp     eax, ecx
005CA6E1    73 09           jnb     short 005CA6EC
005CA6E3    C745 CC 0100000>mov     dword ptr [ebp-34], 1
005CA6EA    EB 07           jmp     short 005CA6F3
005CA6EC    C745 CC 0000000>mov     dword ptr [ebp-34], 0
005CA6F3    EB 19           jmp     short 005CA70E
005CA6F5    8B45 E8         mov     eax, [ebp-18]
005CA6F8    25 FFFF0000     and     eax, 0FFFF
005CA6FD    8B4D D0         mov     ecx, [ebp-30]
005CA700    C1E9 10         shr     ecx, 10
005CA703    3BC1            cmp     eax, ecx
005CA705    73 07           jnb     short 005CA70E
005CA707    C745 CC 0100000>mov     dword ptr [ebp-34], 1
005CA70E    837D CC 00      cmp     dword ptr [ebp-34], 0
005CA712    74 20           je      short 005CA734
005CA714    8B45 F4         mov     eax, [ebp-C]
005CA717    50              push    eax
005CA718    8B45 F0         mov     eax, [ebp-10]
005CA71B    50              push    eax
005CA71C    8B45 EC         mov     eax, [ebp-14]
005CA71F    50              push    eax
005CA720    8B45 E8         mov     eax, [ebp-18]
005CA723    50              push    eax
005CA724    E8 BDD9FFFF     call    005C80E6
005CA729    83C4 10         add     esp, 10
005CA72C    85C0            test    eax, eax
005CA72E    74 04           je      short 005CA734
005CA730    33C0            xor     eax, eax
005CA732    EB 7F           jmp     short 005CA7B3
005CA734    833D 84005E00 0>cmp     dword ptr [5E0084], 0
005CA73B    74 16           je      short 005CA753
005CA73D    A1 24005E00     mov     eax, [5E0024]
005CA742    3305 36005E00   xor     eax, [5E0036]
005CA748    3305 CA025E00   xor     eax, [5E02CA]
005CA74E    8945 FC         mov     [ebp-4], eax
005CA751    EB 0D           jmp     short 005CA760
005CA753    A1 CA025E00     mov     eax, [5E02CA]
005CA758    35 B67583ED     xor     eax, ED8375B6
005CA75D    8945 FC         mov     [ebp-4], eax
005CA760    8B45 FC         mov     eax, [ebp-4]
005CA763    F7D0            not     eax
005CA765    A3 00005E00     mov     [5E0000], eax
005CA76A    C705 08005E00 0>mov     dword ptr [5E0008], 005E0004
005CA774    6A 00           push    0
005CA776    A1 00005E00     mov     eax, [5E0000]
005CA77B    50              push    eax
005CA77C    6A 00           push    0
005CA77E    6A 00           push    0
005CA780    6A 00           push    0
005CA782    6A 00           push    0
005CA784    A1 08005E00     mov     eax, [5E0008]
005CA789    50              push    eax
005CA78A    6A 01           push    1
005CA78C    66:A1 E2055E00  mov     ax, [5E05E2]
005CA792    50              push    eax
005CA793    E8 551F0000     call    005CC6ED
005CA798    83C4 24         add     esp, 24
005CA79B    8945 C8         mov     [ebp-38], eax
005CA79E    837D C8 00      cmp     dword ptr [ebp-38], 0
005CA7A2    75 0A           jnz     short 005CA7AE
005CA7A4    C705 900B5E00 0>mov     dword ptr [5E0B90], 1
005CA7AE    8B45 C8         mov     eax, [ebp-38]
005CA7B1    EB 00           jmp     short 005CA7B3
005CA7B3    5F              pop     edi
005CA7B4    5E              pop     esi
005CA7B5    5B              pop     ebx
005CA7B6    C9              leave
005CA7B7    C3              retn

[课程]FART 脱壳王!加量不加价!FART作者讲授!

收藏
免费 0
支持
分享
最新回复 (8)
china
雪    币: 3511
活跃值: (4037)
能力值: (RANK:215 )
在线值:
发帖
回帖
粉丝
私信
2
把你手头软件,找个地方放上,我拖回来看看。
2006-9-28 14:45
0
北溟
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
多谢china前辈。
这是链接,直接下就可以,不大,大概有10M:
http://218.9.66.138/hwkjwz/download/nzgl.rar
安装后的可执行文件好象是用Nullsoft PiMP 1.3x打了包,狗壳的时间限制为2006年12月4日,到5日的凌晨零点即提示找不到硬件狗。
2006-9-28 15:05
0
Pan88168
雪    币: 439
活跃值: (106)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
晕死了,还没搞定呀,很简单的东西哦
2006-9-28 21:10
0
北溟
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
最初由 Pan88168 发布
晕死了,还没搞定呀,很简单的东西哦

-------------------------------------------
在高手看来可能很简单,可我才刚接触破解不到一个月而已,而且只能在晚上下班之后学习。
所有的高手不也都是从新手开始的吗?
2006-9-29 09:15
0
北溟
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
在线等达人。
2006-9-29 12:12
0
china
雪    币: 3511
活跃值: (4037)
能力值: (RANK:215 )
在线值:
发帖
回帖
粉丝
私信
7
Nullsoft PiMP 1.3x 竟然是个双线程的壳??

郁闷,不懂壳的说。
2006-9-29 16:45
0
北溟
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
唉,高手在何方?求教无门,俺只好在这里程门立雪了,正好与看雪老大的名字符合起来。
2006-9-29 17:10
0
北溟
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
虽然不是完全搞定,但超期之后已经能正常使用了。
2006-9-30 09:05
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//