Flexlm 9.0保护的软件用laoqian的破解方法行不通吗？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

Flexlm 9.0保护的软件用laoqian的破解方法行不通吗？

发表于: 2006-11-16 12:22 8471

Flexlm 9.0保护的软件用laoqian的破解方法行不通吗？

until

2006-11-16 12:22

8471

我用laoqian提供的破解Flexlm的方法破解了autocad2002，但是破解tribon m3时laoqian的方法行不通了。我按照laoqian的方法查找6F7330B8定位到如下位置

0068CADB  |.  8B55 F8    mov    edx, dword ptr [ebp-8]
0068CADE  |.  52          push edx                            ; /Arg3
0068CADF  |.  8B45 0C    mov    eax, dword ptr [ebp+C]          ; |
0068CAE2  |.  50          push eax                            ; |Arg2
0068CAE3  |.  8B4D 08    mov    ecx, dword ptr [ebp+8]          ; |
0068CAE6  |.  51          push ecx                            ; |Arg1
0068CAE7  |.  E8 04A10000 call 00696BF0                      ; \TIDM3Sur.00696BF0
0068CAEC  |.  83C4 0C    add    esp, 0C
0068CAEF  |>  8BE5       mov    esp, ebp
0068CAF1  |.  5D          pop    ebp
0068CAF2  \.  C3          retn
0068CAF3  /$  55          push ebp       ====先在这个地方下断
0068CAF4  |.  8BEC       mov    ebp, esp
0068CAF6  |.  83EC 24    sub    esp, 24
0068CAF9  |.  C745 F4 B8307>mov    dword ptr [ebp-C], 6F7330B8  ===就是这个数在确定l_sg函数上很有用
0068CB00  |.  C745 F0 03000>mov    dword ptr [ebp-10], 3
0068CB07  |.  8B45 08    mov    eax, dword ptr [ebp+8]
0068CB0A  |.  8B48 6C    mov    ecx, dword ptr [eax+6C]
0068CB0D  |.  8B91 A8030000 mov    edx, dword ptr [ecx+3A8]
0068CB13  |.  81E2 00800000 and    edx, 8000
0068CB19  |.  85D2       test edx, edx
0068CB1B  |.  74 23       je    short 0068CB40
0068CB1D  |.  833D 80E27D00>cmp    dword ptr [7DE280], 0
0068CB24  |.  74 1A       je    short 0068CB40
0068CB26  |.  8B45 10    mov    eax, dword ptr [ebp+10]
0068CB29  |.  50          push eax
0068CB2A  |.  8B4D 0C    mov    ecx, dword ptr [ebp+C]
0068CB2D  |.  51          push ecx
0068CB2E  |.  8B55 08    mov    edx, dword ptr [ebp+8]
0068CB31  |.  52          push edx
0068CB32  |.  FF15 80E27D00 call dword ptr [7DE280]  ====在这个地方下断，F8之后就是我们要的！
0068CB38  |.  83C4 0C    add    esp, 0C
0068CB3B  |.  E9 13010000 jmp    0068CC53
0068CB40  |>  6A 04       push 4
0068CB42  |.  8D45 DC    lea    eax, dword ptr [ebp-24]
0068CB45  |.  50          push eax
0068CB46  |.  8B4D 10    mov    ecx, dword ptr [ebp+10]
0068CB49  |.  83C1 0C    add    ecx, 0C
0068CB4C  |.  51          push ecx
0068CB4D  |.  8B55 0C    mov    edx, dword ptr [ebp+C]
0068CB50  |.  52          push edx
0068CB51  |.  E8 7D240200 call 006AEFD3

根据laoqian的教程，在0068CB1B位置第一次会跳转，第二次就不跳了，并可以一直走到0068CB32位置执行call dword ptr [7DE280]，然后就可以找到data[0]，data[1]，job+08，job+0c，job+10，VENDORname了。但是我两次在0068CB1B位置都跳了，即使强行不跳，在0068CB32位置也无法继续走下去了，提示“内存地址00000000不可读”。

我的license文件内容如下：
SERVER a 00C09F575676 27000
DAEMON kcs kcs
FEATURE tb0112 kcs 30.000 31-dec-2006 1 9DE5C35699132641EBFD
请各位密界高手帮我分析一下，先谢谢了。

[课程]Linux pwn 探索篇！

收藏・2

免费・0

支持

最新回复 (13)
newsearch 雪币： 257 活跃值： (369) 能力值： ( LV12，RANK：370 ) 在线值：发帖 14 回帖 342 粉丝 2 关注私信	newsearch 9 2 楼发现一个非常奇怪的现象，上来问FLEXLM的，有好些都是刚发几帖甚至发第一帖的。难道是新手就搞FLEXLM？还是某些人的马甲不愿意示人？搞技术交流没有必要遮掩自己的身份吧 2006-11-16 12:30 0
until 雪币： 12 活跃值： (99) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	until 3 楼在下在上学时对破解很感兴趣（从对游戏的破解、修改开始），当时上网很不方便，没有上过看雪，只是通过盗版盘上的教程学习的，毕业后基本上没时间研究了，就放下了。直到前一段时间一件偶然的事情激起了我当年破解程序的激情，不久前在看雪上看到laoqian老大的《制作AUTOcad2002的Flexlm license》一文，正好公司有这套软件（已经不用了，现在用2005了）就被我拿来练手了。成功破解了AUTOcad2002后，我就趁热打铁继续拿tribon来破解，没想到提到石头了，只好到看雪来求教了，绝没有二楼老大说的那么复杂 2006-11-16 13:40 0
sln 雪币： 215 活跃值： (12) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 45 粉丝 0 关注私信	sln 2 4 楼我也是一上来就问flexlm 只是因为我不是计算机专业的跟破解决本来没有关系只是因为自己实验室买的软件是flexlm保护的自然上来就问了绝对不用马甲。 2006-11-16 20:41 0
hfwasp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	hfwasp 5 楼我只会灌水~ 2006-11-17 10:47 0
orchid88 雪币： 84 活跃值： (660) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 202 粉丝 3 关注私信	orchid88 6 楼 laoqian的方法在一些特殊情况下是无法奏效的。 0068CB0D \|. 8B91 A8030000 mov edx, dword ptr [ecx+3A8] 这个位置实际上是 mov edx,_l_n36_buff,如果edx不为0，即_l_n36_buff非空，就跳到 0068CB32 \|. FF15 80E27D00 call dword ptr [7DE280] 即call _l_n36_buff。至于怎么解决楼主的无法跳到68CB32执行call _l_n36_buff，我建议楼主删除进程中的相关程序，用lmgrd -z启动守护程序，用od或者sice在守护程序启动的同时中断他，设立相应的断点。应该可以中断在守护程序的call _l_n36_buff处，trace over以后就可以找出seed了。另外，marstj的flexwrap方法应该是通用的，关键是要找到他所说的xor edx,ebx点。因为没有范例，我现在还不是太明白怎么找那个点。如果我说的还是不行，我建议楼主请教marstj吧。 2006-11-17 11:30 0
wilo 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 51 粉丝 0 关注私信	wilo 7 楼最初由 orchid88* 发布* laoqian的方法在一些特殊情况下是无法奏效的。 0068CB0D \|. 8B91 A8030000 mov edx, dword ptr [ecx+3A8] 这个位置实际上是 mov edx,_l_n36_buff,如果edx不为0，即_l_n36_buff非空，就跳到 0068CB32 \|. FF15 80E27D00 call dword ptr [7DE280] 即call _l_n36_buff。至于怎么解决楼主的无法跳到68CB32执行call _l_n36_buff，我建议楼主删除进程中的相关程序，用lmgrd -z启动守护程序，用od或者sice在守护程序启动的同时中断他，设立相应的断点。应该可以中断在守护程序的call _l_n36_buff处，trace over以后就可以找出seed了。 ........ 请教orchid88： “用lmgrd -z启动守护程序，用od或者sice在守护程序启动的同时中断他”用od怎么实现呢？附加进程往往不成功 2006-11-20 11:33 0
orchid88 雪币： 84 活跃值： (660) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 202 粉丝 3 关注私信	orchid88 8 楼 To wilo: 其实很简单，你把守护程序的oep的第一句改为int3，同时将od设为即时调试器，这样的话在守护程序启动的同时就能中断它。 By the way,marstj的那个地址我已经搞清楚了，就是在_l_string_key函数里面，marstj发现这个真是不简单！其实还有一种最快的查找seed的方式，就是用脚本，那个脚本真的很好用（它把jobstruct清零，然后call _l_buff_n36，马上就得出两个seed），几乎是秒杀，看雪上应该有。这个方法适用于7.2以上版本，比laoqian总结的好用且通用。 2006-11-20 12:08 0
张大善人雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 95 粉丝 0 关注私信	张大善人 9 楼新注册的菜鸟问这等高手问题，令我等菜菜鸟汗颜！ 2006-11-20 12:42 0
newsearch 雪币： 257 活跃值： (369) 能力值： ( LV12，RANK：370 ) 在线值：发帖 14 回帖 342 粉丝 2 关注私信	newsearch 9 10 楼好多人问FLEXLM，FLEXLM疯了 2006-11-20 12:49 0
蓝枫雪币： 1714 活跃值： (555) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 70 粉丝 0 关注私信	蓝枫 11 楼最初由 orchid88* 发布* To wilo: 其实很简单，你把守护程序的oep的第一句改为int3，同时将od设为即时调试器，这样的话在守护程序启动的同时就能中断它。 By the way,marstj的那个地址我已经搞清楚了，就是在_l_string_key函数里面，marstj发现这个真是不简单！其实还有一种最快的查找seed的方式，就是用脚本，那个脚本真的很好用（它把jobstruct清零，然后call _l_buff_n36，马上就得出两个seed），几乎是秒杀，看雪上应该有。这个方法适用于7.2以上版本，比laoqian总结的好用且通用。 to orchid88: 可以具体说说你的秒杀方法吗 2006-11-20 13:51 0
wilo 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 51 粉丝 0 关注私信	wilo 12 楼最初由 orchid88* 发布* To wilo: 其实很简单，你把守护程序的oep的第一句改为int3，同时将od设为即时调试器，这样的话在守护程序启动的同时就能中断它。 By the way,marstj的那个地址我已经搞清楚了，就是在_l_string_key函数里面，marstj发现这个真是不简单！其实还有一种最快的查找seed的方式，就是用脚本，那个脚本真的很好用（它把jobstruct清零，然后call _l_buff_n36，马上就得出两个seed），几乎是秒杀，看雪上应该有。这个方法适用于7.2以上版本，比laoqian总结的好用且通用。果真是XX！！秒杀很强悍，不知道有什么适合什么样的版本？ecc是否可以呢？我知道低版本的可以很容易秒杀。 2006-11-20 21:52 0
rooky2000 雪币： 751 活跃值： (2710) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 301 粉丝 2 关注私信	rooky2000 13 楼谁上传一下脚本呀？ 2006-11-21 15:01 0
hshwsq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	hshwsq 14 楼最初由 sln* 发布* 我也是一上来就问flexlm 只是因为我不是计算机专业的跟破解决本来没有关系只是因为自己实验室买的软件是flexlm保护的自然上来就问了绝对不用马甲。呵呵，就是，我们没有买，非常想用这些软件来学习一下，无赖这些软件大部分用flexlm加密。正所谓初生牛犊不怕虎吗，菜鸟不懂的多，望各位大侠悉心指教，不甚感激啊！ 2006-11-22 14:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

until

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
newsearch 雪币： 257 活跃值： (369) 能力值： ( LV12，RANK：370 ) 在线值：发帖 14 回帖 342 粉丝 2 关注私信	newsearch 9 2 楼发现一个非常奇怪的现象，上来问FLEXLM的，有好些都是刚发几帖甚至发第一帖的。难道是新手就搞FLEXLM？还是某些人的马甲不愿意示人？搞技术交流没有必要遮掩自己的身份吧 2006-11-16 12:30 0
until 雪币： 12 活跃值： (99) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	until 3 楼在下在上学时对破解很感兴趣（从对游戏的破解、修改开始），当时上网很不方便，没有上过看雪，只是通过盗版盘上的教程学习的，毕业后基本上没时间研究了，就放下了。直到前一段时间一件偶然的事情激起了我当年破解程序的激情，不久前在看雪上看到laoqian老大的《制作AUTOcad2002的Flexlm license》一文，正好公司有这套软件（已经不用了，现在用2005了）就被我拿来练手了。成功破解了AUTOcad2002后，我就趁热打铁继续拿tribon来破解，没想到提到石头了，只好到看雪来求教了，绝没有二楼老大说的那么复杂 2006-11-16 13:40 0
sln 雪币： 215 活跃值： (12) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 45 粉丝 0 关注私信	sln 2 4 楼我也是一上来就问flexlm 只是因为我不是计算机专业的跟破解决本来没有关系只是因为自己实验室买的软件是flexlm保护的自然上来就问了绝对不用马甲。 2006-11-16 20:41 0
hfwasp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	hfwasp 5 楼我只会灌水~ 2006-11-17 10:47 0
orchid88 雪币： 84 活跃值： (660) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 202 粉丝 3 关注私信	orchid88 6 楼 laoqian的方法在一些特殊情况下是无法奏效的。 0068CB0D \|. 8B91 A8030000 mov edx, dword ptr [ecx+3A8] 这个位置实际上是 mov edx,_l_n36_buff,如果edx不为0，即_l_n36_buff非空，就跳到 0068CB32 \|. FF15 80E27D00 call dword ptr [7DE280] 即call _l_n36_buff。至于怎么解决楼主的无法跳到68CB32执行call _l_n36_buff，我建议楼主删除进程中的相关程序，用lmgrd -z启动守护程序，用od或者sice在守护程序启动的同时中断他，设立相应的断点。应该可以中断在守护程序的call _l_n36_buff处，trace over以后就可以找出seed了。另外，marstj的flexwrap方法应该是通用的，关键是要找到他所说的xor edx,ebx点。因为没有范例，我现在还不是太明白怎么找那个点。如果我说的还是不行，我建议楼主请教marstj吧。 2006-11-17 11:30 0
wilo 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 51 粉丝 0 关注私信	wilo 7 楼最初由 orchid88* 发布* laoqian的方法在一些特殊情况下是无法奏效的。 0068CB0D \|. 8B91 A8030000 mov edx, dword ptr [ecx+3A8] 这个位置实际上是 mov edx,_l_n36_buff,如果edx不为0，即_l_n36_buff非空，就跳到 0068CB32 \|. FF15 80E27D00 call dword ptr [7DE280] 即call _l_n36_buff。至于怎么解决楼主的无法跳到68CB32执行call _l_n36_buff，我建议楼主删除进程中的相关程序，用lmgrd -z启动守护程序，用od或者sice在守护程序启动的同时中断他，设立相应的断点。应该可以中断在守护程序的call _l_n36_buff处，trace over以后就可以找出seed了。 ........ 请教orchid88： “用lmgrd -z启动守护程序，用od或者sice在守护程序启动的同时中断他”用od怎么实现呢？附加进程往往不成功 2006-11-20 11:33 0
orchid88 雪币： 84 活跃值： (660) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 202 粉丝 3 关注私信	orchid88 8 楼 To wilo: 其实很简单，你把守护程序的oep的第一句改为int3，同时将od设为即时调试器，这样的话在守护程序启动的同时就能中断它。 By the way,marstj的那个地址我已经搞清楚了，就是在_l_string_key函数里面，marstj发现这个真是不简单！其实还有一种最快的查找seed的方式，就是用脚本，那个脚本真的很好用（它把jobstruct清零，然后call _l_buff_n36，马上就得出两个seed），几乎是秒杀，看雪上应该有。这个方法适用于7.2以上版本，比laoqian总结的好用且通用。 2006-11-20 12:08 0
张大善人雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 95 粉丝 0 关注私信	张大善人 9 楼新注册的菜鸟问这等高手问题，令我等菜菜鸟汗颜！ 2006-11-20 12:42 0
newsearch 雪币： 257 活跃值： (369) 能力值： ( LV12，RANK：370 ) 在线值：发帖 14 回帖 342 粉丝 2 关注私信	newsearch 9 10 楼好多人问FLEXLM，FLEXLM疯了 2006-11-20 12:49 0
蓝枫雪币： 1714 活跃值： (555) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 70 粉丝 0 关注私信	蓝枫 11 楼最初由 orchid88* 发布* To wilo: 其实很简单，你把守护程序的oep的第一句改为int3，同时将od设为即时调试器，这样的话在守护程序启动的同时就能中断它。 By the way,marstj的那个地址我已经搞清楚了，就是在_l_string_key函数里面，marstj发现这个真是不简单！其实还有一种最快的查找seed的方式，就是用脚本，那个脚本真的很好用（它把jobstruct清零，然后call _l_buff_n36，马上就得出两个seed），几乎是秒杀，看雪上应该有。这个方法适用于7.2以上版本，比laoqian总结的好用且通用。 to orchid88: 可以具体说说你的秒杀方法吗 2006-11-20 13:51 0
wilo 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 51 粉丝 0 关注私信	wilo 12 楼最初由 orchid88* 发布* To wilo: 其实很简单，你把守护程序的oep的第一句改为int3，同时将od设为即时调试器，这样的话在守护程序启动的同时就能中断它。 By the way,marstj的那个地址我已经搞清楚了，就是在_l_string_key函数里面，marstj发现这个真是不简单！其实还有一种最快的查找seed的方式，就是用脚本，那个脚本真的很好用（它把jobstruct清零，然后call _l_buff_n36，马上就得出两个seed），几乎是秒杀，看雪上应该有。这个方法适用于7.2以上版本，比laoqian总结的好用且通用。果真是XX！！秒杀很强悍，不知道有什么适合什么样的版本？ecc是否可以呢？我知道低版本的可以很容易秒杀。 2006-11-20 21:52 0
rooky2000 雪币： 751 活跃值： (2710) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 301 粉丝 2 关注私信	rooky2000 13 楼谁上传一下脚本呀？ 2006-11-21 15:01 0
hshwsq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	hshwsq 14 楼最初由 sln* 发布* 我也是一上来就问flexlm 只是因为我不是计算机专业的跟破解决本来没有关系只是因为自己实验室买的软件是flexlm保护的自然上来就问了绝对不用马甲。呵呵，就是，我们没有买，非常想用这些软件来学习一下，无赖这些软件大部分用flexlm加密。正所谓初生牛犊不怕虎吗，菜鸟不懂的多，望各位大侠悉心指教，不甚感激啊！ 2006-11-22 14:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复