这个软件是免费版,但有时间限制,所以想破破看。
用Aspack2.12可以成功脱壳。
用GetTickTime可以断下。
004E6408 |. E8 7F06F2FF CALL <JMP.&kernel32.GetTickCount> ; [GetTickCount
004E640D |. 8B15 A8A34E00 MOV EDX,DWORD PTR DS:[4EA3A8] ; unpacked.004EBC64
004E6413 |. 8902 MOV DWORD PTR DS:[EDX],EAX
004E6415 |. B2 01 MOV DL,1
004E6417 |. A1 1C434800 MOV EAX,DWORD PTR DS:[48431C]
004E641C |. E8 FBDFF9FF CALL unpacked.0048441C
004E6421 |. 8945 FC MOV DWORD PTR SS:[EBP-4],EAX
004E6424 |. 33C0 XOR EAX,EAX
004E6426 |. 55 PUSH EBP
004E6427 |. 68 28654E00 PUSH unpacked.004E6528
004E642C |. 64:FF30 PUSH DWORD PTR FS:[EAX]
004E642F |. 64:8920 MOV DWORD PTR FS:[EAX],ESP
004E6432 |. BA 02000080 MOV EDX,80000002
004E6437 |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
但是我对时间限制不怎么明白,比如怎么解除限制。
用GetLocalTime也可以断下,GetLocalTime断在GetTickCount后面。
0040A338 /$ 83C4 E8 ADD ESP,-18
0040A33B |. 8D4424 08 LEA EAX,DWORD PTR SS:[ESP+8]
0040A33F |. 50 PUSH EAX ; /pLocaltime
0040A340 |. E8 F7C6FFFF CALL <JMP.&kernel32.GetLocalTime> ; \GetLocalTime
0040A345 |. 66:8B4C24 0E MOV CX,WORD PTR SS:[ESP+E]
0040A34A |. 66:8B5424 0A MOV DX,WORD PTR SS:[ESP+A]
0040A34F |. 66:8B4424 08 MOV AX,WORD PTR SS:[ESP+8]
0040A354 |. E8 1BFEFFFF CALL unpacked.0040A174
0040A359 |. DD1C24 FSTP QWORD PTR SS:[ESP]
0040A35C |. 9B WAIT
0040A35D |. DD0424 FLD QWORD PTR SS:[ESP]
后来,迷迷糊糊地跟到了这里。
004E6485 |. DED9 FCOMPP
004E6487 |. DFE0 FSTSW AX
004E6489 |. 9E SAHF
004E648A 73 7E JNB SHORT unpacked.004E650A /就是这个跳转,好像是关键跳转。
004E648C |. 66:A1 70654E0>MOV AX,WORD PTR DS:[4E6570]
004E6492 |. 50 PUSH EAX
004E6493 |. 6A 00 PUSH 0
004E6495 |. 8B06 MOV EAX,DWORD PTR DS:[ESI]
就在004E648A,我把JNB改成了JB,运行一下,软件出来已经到期的提示。所以我想,一定要让这个跳转实现,那么就不会到期了。
第二次改成JMP,结果可以正常运行。
但是,因为我也不知道它什么时候到期,所以没办法调试到底是不是成功解除了限制,还希望高手指教一二。
还有,这个软件还有个运行20分钟后不能使用的限制,我不知道怎么破解。
最后一个问题:像这样时间限制的软件,有没有什么好的方法,让它快点到时间到期,这样,就方便破解了。
点击下载:附件!ppfang_free.rar
注意,第二个附件中的文件只是可能解除了限制,大家有兴趣,可以帮忙调试一下是不是真的解除了。
点击下载:附件!ppfang_free2.rar
--------------------------------
版主,不好意思,多传了两个文件,文件名是ppfang_free时间好像解除.rar和ppfang_free time free.rar,请删除。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
