试试管用不-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

试试管用不

发表于: 2007-3-6 16:52 34925

试试管用不

softworm

2007-3-6 16:52

34925

查看主题内容

收藏・8

免费・7

支持

最新回复 (104) ◀ 1 2 3 4 5 ▶
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 51 楼最初由 zhucheba* 发布* 把完美的搞出来我没有更完美的了,今天试了我的6个数据只有2个可以让1310跑起来,也许漏了数据,前面已经用了1个,这里重新放2个key,不知道能否让其他版本跑起来。跑不起来也不管了，告一段落了上传的附件： key.rar （0.90kb，62次下载） 2007-3-7 19:48 0
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 52 楼不懂。强贴留个名先 2007-3-7 20:03 0
wxbww 雪币： 203 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 78 粉丝 0 关注私信	wxbww 53 楼好东西，还真能用！谢了 2007-3-7 22:57 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 54 楼最初由 softworm* 发布* 我没有更完美的了,今天试了我的6个数据只有2个可以让1310跑起来,也许漏了数据,前面已经用了1个,这里重新放2个key,不知道能否让其他版本跑起来。跑不起来也不管了，告一段落了 1可以跑4个版本 4只能跑1310 2007-3-8 09:11 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 55 楼谢谢heXer的测试 pediy的key和key1用的是同一个穷举数据. 直接发个可用的LicenseUniqueKey,有兴趣的朋友自己keygen吧. +0x64的dword没找到,给的XXXX,有问题再说注意参数char* pCustomData不要乱给,要用类似"1000-0000-0000-0000" 的格式. irmi0WcayF2E37pH0ka06zbt0Eu000a000600000607aTSZZduz9vK8bZSzl03aeLZmZ3sZunV1v9fnwF4V2l7ks153fFYkrxamTXXXX1Nl1 2007-3-8 12:18 0
honhon 雪币： 203 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 91 粉丝 1 关注私信	honhon 56 楼牛人,不知道怎么膜拜才好 2007-3-8 13:07 0
winndy 雪币： 450 活跃值： (552) 能力值： ( LV9，RANK：690 ) 在线值：发帖 45 回帖 775 粉丝 1 关注私信	winndy 17 57 楼最初由 softworm* 发布* 谢谢heXer的测试 pediy的key和key1用的是同一个穷举数据. 直接发个可用的LicenseUniqueKey,有兴趣的朋友自己keygen吧. ........ 授之以渔吧，大侠！ 2007-3-8 14:40 0
xiaoboy 雪币： 224 活跃值： (75) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 300 粉丝 0 关注私信	xiaoboy 2 58 楼强悍 2007-3-8 15:13 0
hrbx 雪币： 267 活跃值： (44) 能力值： ( LV9，RANK：330 ) 在线值：发帖 11 回帖 195 粉丝 1 关注私信	hrbx 8 59 楼支持，强悍！ 2007-3-8 15:17 0
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 25 回帖 445 粉丝 0 关注私信	playx 1 60 楼俺就不说啥了..... 2007-3-8 15:19 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 61 楼可以用1.3.1.0 老大真是厉害 2007-3-8 18:27 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 62 楼狂顶．．．管用．．． 2007-3-8 20:10 0
CoolWolF 雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 118 粉丝 1 关注私信	CoolWolF 63 楼进来膜拜一下[SSH] 2007-3-9 09:03 0
kevinzou 雪币： 195 活跃值： (99) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 81 粉丝 0 关注私信	kevinzou 64 楼此Softworm是否就是CCF、DRL等论坛的Softworm？有点好奇 2007-3-9 12:25 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 65 楼最初由 kevinzou* 发布* 此Softworm是否就是CCF、DRL等论坛的Softworm？有点好奇不是,我只在pediy,unpackcn,exetools用这个id 2007-3-9 12:40 0
goastship 雪币： 208 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	goastship 66 楼谢谢提供！！！ 2007-3-9 14:26 0
4st0ne 雪币： 216 活跃值： (2407) 能力值： ( LV10，RANK：170 ) 在线值：发帖 31 回帖 314 粉丝 0 关注私信	4st0ne 4 67 楼可用.. 顶.... 2007-3-9 15:27 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 68 楼 winndy在两个论坛给我施压啊。前段时间得了角膜炎,视力一直没有恢复,确实没有精神写文章。正如shoooo所说,要把细节描述清楚并不容易,我只能大致说一下,希望能有帮助。研究WL很重要,重点看UniqueLicenseKey是怎么用的。数据如下: +0 - +C 这段数据需要穷举,根据3个条件,命名4个dword为a,b,c,d 条件1: (((((a ^ 14C6CF10h) + b) ^ 0F7A64172h) + c) >> 7) ^ d = 48AB800B(这个值跟出来的) 条件2: (((((a + 0F7638A5Bh) + b) ^ 37EFFE68h) ^ c) + 10E826C8h) ^ d = 92764A7Bh ^ 0x1BD46FE5 这里的0x1BD46FE5可以带参数/showinstance运行Virtualizer.exe得到(shadow2) 条件3: c+d = xxxxxxxx,这个值在有key时可以跟VM得到,无key要根据SMC 代码明密文来穷举,这个值和下面的10,14之和用于SMC解码,共2处, 在00DF47BC和00E2ADE3(CV1310)。这2段代码的明文代码在WL为: ___:00570A06 8B C1 mov eax, ecx ___:00570A08 C1 E0 02 shl eax, 2 ___:00570A0B 50 push eax ___:00570A0C 8B D7 mov edx, edi ___:00570A0E 59 pop ecx 加壳后插入了很多垃圾代码。 +10 - +14 同c+d,有key可跟VM得到,无key穷举(上面的2处SMC用的2个解码key就是c+d和 10+14)。穷举结果为二者之和,分解为任意的合法字符即可(大小写字母/数字) +18 直接搜索代码得到 +1C - +40 跟VM代码获取两两之和,无key时对应的代码执行不到,需要修改VM代码执行路径。 +44 - +60 可直接搜索自己解码,这段数据保存时后面跟了0 ^ imm32,直接搜索这个imm32可以找到这是唯一一段与原始key相同的数据 +64 没有找到,乱给的 +68 搜索代码可得到上面所说的搜索,是拦在调用以CreateFile加载的kernel32!CreateFileA 访问keyfile返回时,走几步就到相关的VM代码了。我后来的时间都花在穷举程序上了,前面的细节有些记不清了,但最重要的是跟Winlicense,可以自己写个小程序保护试试。key的片段有的是加密后保存到程序里(+44 - +60),有的被写到代码,如原来为xor eax,12345678, 加壳后用来自key的数据替换掉12345678。还有的被用作解码key,如c+d, 10+14。 WL中对key片断的使用近10处,有些我没有在被保护程序中找到,调试WL时也不是都能断下,所以我没找到+64。重点是将WL中的明文数据与被保护程序的VM代码对应起来才能跟。 2007-3-9 15:34 0
winndy 雪币： 450 活跃值： (552) 能力值： ( LV9，RANK：690 ) 在线值：发帖 45 回帖 775 粉丝 1 关注私信	winndy 17 69 楼最初由 softworm* 发布* winndy在两个论坛给我施压啊。前段时间得了角膜炎,视力一直没有恢复,确实没有精神写文章。正如shoooo所说,要把细节描述清楚并不容易,我只能大致说一下,希望能有帮助。 ........ ：）首先要感谢softworm大侠的指点，其次呢，希望你多休息，没事出去溜达一下，看看绿色植物。祝你早日恢复健康。终于可以小窥一下庐山真面目了，结果不重要，原来过程是这么美好啊！细节正如shoooo所说，高深啊，需要很高的技巧。我在慢慢啃啃。 2007-3-9 16:29 0
jxnan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	jxnan 70 楼牛人啊 2007-3-9 18:13 0
killes 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 108 粉丝 0 关注私信	killes 71 楼果然厉害，楼主辛苦了，谢谢◎ 2007-3-9 18:24 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 6 关注私信	zhuwg 11 72 楼强贴支持1下 2007-3-9 19:13 0
nig 雪币： 414 活跃值： (531) 能力值： ( LV9，RANK：170 ) 在线值：发帖 38 回帖 1444 粉丝 13 关注私信	nig 4 73 楼严重感谢! 原版程序在哪里可以下载到呢,指点一下. 2007-3-9 19:15 0
孤城雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 0 关注私信	孤城 74 楼最初由 nig* 发布* 严重感谢! 原版程序在哪里可以下载到呢,指点一下. 自己找下已经提供了汇集下载在工具论坛的置顶帖里！ 2007-3-9 19:46 0
ywb 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 187 粉丝 1 关注私信	ywb 75 楼这猛帖不顶就是不行啊，不知何时有这能耐,也许 ==............................................... 2007-3-9 21:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

softworm

发帖

1050

回帖

1210

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (104) ◀ 1 2 3 4 5 ▶
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 51 楼最初由 zhucheba* 发布* 把完美的搞出来我没有更完美的了,今天试了我的6个数据只有2个可以让1310跑起来,也许漏了数据,前面已经用了1个,这里重新放2个key,不知道能否让其他版本跑起来。跑不起来也不管了，告一段落了上传的附件： key.rar （0.90kb，62次下载） 2007-3-7 19:48 0
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 52 楼不懂。强贴留个名先 2007-3-7 20:03 0
wxbww 雪币： 203 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 78 粉丝 0 关注私信	wxbww 53 楼好东西，还真能用！谢了 2007-3-7 22:57 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 54 楼最初由 softworm* 发布* 我没有更完美的了,今天试了我的6个数据只有2个可以让1310跑起来,也许漏了数据,前面已经用了1个,这里重新放2个key,不知道能否让其他版本跑起来。跑不起来也不管了，告一段落了 1可以跑4个版本 4只能跑1310 2007-3-8 09:11 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 55 楼谢谢heXer的测试 pediy的key和key1用的是同一个穷举数据. 直接发个可用的LicenseUniqueKey,有兴趣的朋友自己keygen吧. +0x64的dword没找到,给的XXXX,有问题再说注意参数char* pCustomData不要乱给,要用类似"1000-0000-0000-0000" 的格式. irmi0WcayF2E37pH0ka06zbt0Eu000a000600000607aTSZZduz9vK8bZSzl03aeLZmZ3sZunV1v9fnwF4V2l7ks153fFYkrxamTXXXX1Nl1 2007-3-8 12:18 0
honhon 雪币： 203 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 91 粉丝 1 关注私信	honhon 56 楼牛人,不知道怎么膜拜才好 2007-3-8 13:07 0
winndy 雪币： 450 活跃值： (552) 能力值： ( LV9，RANK：690 ) 在线值：发帖 45 回帖 775 粉丝 1 关注私信	winndy 17 57 楼最初由 softworm* 发布* 谢谢heXer的测试 pediy的key和key1用的是同一个穷举数据. 直接发个可用的LicenseUniqueKey,有兴趣的朋友自己keygen吧. ........ 授之以渔吧，大侠！ 2007-3-8 14:40 0
xiaoboy 雪币： 224 活跃值： (75) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 300 粉丝 0 关注私信	xiaoboy 2 58 楼强悍 2007-3-8 15:13 0
hrbx 雪币： 267 活跃值： (44) 能力值： ( LV9，RANK：330 ) 在线值：发帖 11 回帖 195 粉丝 1 关注私信	hrbx 8 59 楼支持，强悍！ 2007-3-8 15:17 0
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 25 回帖 445 粉丝 0 关注私信	playx 1 60 楼俺就不说啥了..... 2007-3-8 15:19 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 61 楼可以用1.3.1.0 老大真是厉害 2007-3-8 18:27 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 62 楼狂顶．．．管用．．． 2007-3-8 20:10 0
CoolWolF 雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 118 粉丝 1 关注私信	CoolWolF 63 楼进来膜拜一下[SSH] 2007-3-9 09:03 0
kevinzou 雪币： 195 活跃值： (99) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 81 粉丝 0 关注私信	kevinzou 64 楼此Softworm是否就是CCF、DRL等论坛的Softworm？有点好奇 2007-3-9 12:25 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 65 楼最初由 kevinzou* 发布* 此Softworm是否就是CCF、DRL等论坛的Softworm？有点好奇不是,我只在pediy,unpackcn,exetools用这个id 2007-3-9 12:40 0
goastship 雪币： 208 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	goastship 66 楼谢谢提供！！！ 2007-3-9 14:26 0
4st0ne 雪币： 216 活跃值： (2407) 能力值： ( LV10，RANK：170 ) 在线值：发帖 31 回帖 314 粉丝 0 关注私信	4st0ne 4 67 楼可用.. 顶.... 2007-3-9 15:27 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 68 楼 winndy在两个论坛给我施压啊。前段时间得了角膜炎,视力一直没有恢复,确实没有精神写文章。正如shoooo所说,要把细节描述清楚并不容易,我只能大致说一下,希望能有帮助。研究WL很重要,重点看UniqueLicenseKey是怎么用的。数据如下: +0 - +C 这段数据需要穷举,根据3个条件,命名4个dword为a,b,c,d 条件1: (((((a ^ 14C6CF10h) + b) ^ 0F7A64172h) + c) >> 7) ^ d = 48AB800B(这个值跟出来的) 条件2: (((((a + 0F7638A5Bh) + b) ^ 37EFFE68h) ^ c) + 10E826C8h) ^ d = 92764A7Bh ^ 0x1BD46FE5 这里的0x1BD46FE5可以带参数/showinstance运行Virtualizer.exe得到(shadow2) 条件3: c+d = xxxxxxxx,这个值在有key时可以跟VM得到,无key要根据SMC 代码明密文来穷举,这个值和下面的10,14之和用于SMC解码,共2处, 在00DF47BC和00E2ADE3(CV1310)。这2段代码的明文代码在WL为: ___:00570A06 8B C1 mov eax, ecx ___:00570A08 C1 E0 02 shl eax, 2 ___:00570A0B 50 push eax ___:00570A0C 8B D7 mov edx, edi ___:00570A0E 59 pop ecx 加壳后插入了很多垃圾代码。 +10 - +14 同c+d,有key可跟VM得到,无key穷举(上面的2处SMC用的2个解码key就是c+d和 10+14)。穷举结果为二者之和,分解为任意的合法字符即可(大小写字母/数字) +18 直接搜索代码得到 +1C - +40 跟VM代码获取两两之和,无key时对应的代码执行不到,需要修改VM代码执行路径。 +44 - +60 可直接搜索自己解码,这段数据保存时后面跟了0 ^ imm32,直接搜索这个imm32可以找到这是唯一一段与原始key相同的数据 +64 没有找到,乱给的 +68 搜索代码可得到上面所说的搜索,是拦在调用以CreateFile加载的kernel32!CreateFileA 访问keyfile返回时,走几步就到相关的VM代码了。我后来的时间都花在穷举程序上了,前面的细节有些记不清了,但最重要的是跟Winlicense,可以自己写个小程序保护试试。key的片段有的是加密后保存到程序里(+44 - +60),有的被写到代码,如原来为xor eax,12345678, 加壳后用来自key的数据替换掉12345678。还有的被用作解码key,如c+d, 10+14。 WL中对key片断的使用近10处,有些我没有在被保护程序中找到,调试WL时也不是都能断下,所以我没找到+64。重点是将WL中的明文数据与被保护程序的VM代码对应起来才能跟。 2007-3-9 15:34 0
winndy 雪币： 450 活跃值： (552) 能力值： ( LV9，RANK：690 ) 在线值：发帖 45 回帖 775 粉丝 1 关注私信	winndy 17 69 楼最初由 softworm* 发布* winndy在两个论坛给我施压啊。前段时间得了角膜炎,视力一直没有恢复,确实没有精神写文章。正如shoooo所说,要把细节描述清楚并不容易,我只能大致说一下,希望能有帮助。 ........ ：）首先要感谢softworm大侠的指点，其次呢，希望你多休息，没事出去溜达一下，看看绿色植物。祝你早日恢复健康。终于可以小窥一下庐山真面目了，结果不重要，原来过程是这么美好啊！细节正如shoooo所说，高深啊，需要很高的技巧。我在慢慢啃啃。 2007-3-9 16:29 0
jxnan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	jxnan 70 楼牛人啊 2007-3-9 18:13 0
killes 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 108 粉丝 0 关注私信	killes 71 楼果然厉害，楼主辛苦了，谢谢◎ 2007-3-9 18:24 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 6 关注私信	zhuwg 11 72 楼强贴支持1下 2007-3-9 19:13 0
nig 雪币： 414 活跃值： (531) 能力值： ( LV9，RANK：170 ) 在线值：发帖 38 回帖 1444 粉丝 13 关注私信	nig 4 73 楼严重感谢! 原版程序在哪里可以下载到呢,指点一下. 2007-3-9 19:15 0
孤城雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 0 关注私信	孤城 74 楼最初由 nig* 发布* 严重感谢! 原版程序在哪里可以下载到呢,指点一下. 自己找下已经提供了汇集下载在工具论坛的置顶帖里！ 2007-3-9 19:46 0
ywb 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 187 粉丝 1 关注私信	ywb 75 楼这猛帖不顶就是不行啊，不知何时有这能耐,也许 ==............................................... 2007-3-9 21:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复