首页
社区
课程
招聘
[旧帖] [求助]未完成的程序破解+分析 0.00雪花
发表于: 2007-6-14 00:59 13759

[旧帖] [求助]未完成的程序破解+分析 0.00雪花

2007-6-14 00:59
13759
PEID查壳是北斗USPACK的壳

以下是脱壳后程序的分析

4067A6   . /0F84 8A000000 je      00406836                            跳就死
004067AC   . |53            push    ebx
004067AD   . |53            push    ebx
004067AE   . |68 9C254200   push    0042259C                         ;  注册验证失败!
004067B3   . |E8 BC160100   call    <jmp.&MFC42.#1200_AfxMessageBox>
004067B8   . |8D4C24 54     lea     ecx, dword ptr [esp+54]
004067BC   . |E8 EFD1FFFF   call    004039B0
004067C1   . |53            push    ebx
004067C2   . |8D8C24 800000>lea     ecx, dword ptr [esp+80]
004067C9   . |C68424 281903>mov     byte ptr [esp+31928], 0B
004067D1   . |E8 1AD00000   call    004137F0
004067D6   . |8D4C24 7C     lea     ecx, dword ptr [esp+7C]
004067DA   . |C68424 241903>mov     byte ptr [esp+31924], 0C
004067E2   . |E8 A1140100   call    <jmp.&MFC42.#2514_CDialog::DoMod>
004067E7   . |8D8C24 1C0100>lea     ecx, dword ptr [esp+11C]
004067EE   . |C68424 241903>mov     byte ptr [esp+31924], 0E
004067F6   . |E8 11180100   call    <jmp.&MFC42.#656_CEdit::~CEdit>
004067FB   . |8D8C24 DC0000>lea     ecx, dword ptr [esp+DC]
00406802   . |C68424 241903>mov     byte ptr [esp+31924], 0D
0040680A   . |E8 FD170100   call    <jmp.&MFC42.#656_CEdit::~CEdit>
0040680F   . |8D4C24 7C     lea     ecx, dword ptr [esp+7C]
00406813   . |C68424 241903>mov     byte ptr [esp+31924], 0B
0040681B   . |E8 6A150100   call    <jmp.&MFC42.#641_CDialog::~CDial>
00406820   . |8D4C24 54     lea     ecx, dword ptr [esp+54]
00406824   . |C68424 241903>mov     byte ptr [esp+31924], 9
0040682C   . |E8 4FD2FFFF   call    00403A80
00406831   . |E9 07060000   jmp     00406E3D
00406836   > \8D4C24 2C     lea     ecx, dword ptr [esp+2C]
0040683A   .  E8 61E0FFFF   call    004048A0
0040683F   .  84C0          test    al, al
00406841   .  0F85 8A000000 jnz     004068D1
00406847   .  53            push    ebx
00406848   .  53            push    ebx
00406849   .  68 9C254200   push    0042259C                         ;  注册验证失败!
0040684E   .  E8 21160100   call    <jmp.&MFC42.#1200_AfxMessageBox>
00406853   .  8D4C24 54     lea     ecx, dword ptr [esp+54]
00406857   .  E8 54D1FFFF   call    004039B0
0040685C   .  53            push    ebx
0040685D   .  8D8C24 800000>lea     ecx, dword ptr [esp+80]
00406864   .  C68424 281903>mov     byte ptr [esp+31928], 0F
0040686C   .  E8 7FCF0000   call    004137F0
00406871   .  8D4C24 7C     lea     ecx, dword ptr [esp+7C]
00406875   .  C68424 241903>mov     byte ptr [esp+31924], 10
0040687D   .  E8 06140100   call    <jmp.&MFC42.#2514_CDialog::DoMod>
00406882   .  8D8C24 1C0100>lea     ecx, dword ptr [esp+11C]
00406889   .  C68424 241903>mov     byte ptr [esp+31924], 12
00406891   .  E8 76170100   call    <jmp.&MFC42.#656_CEdit::~CEdit>
00406896   .  8D8C24 DC0000>lea     ecx, dword ptr [esp+DC]
0040689D   .  C68424 241903>mov     byte ptr [esp+31924], 11
004068A5   .  E8 62170100   call    <jmp.&MFC42.#656_CEdit::~CEdit>
004068AA   .  8D4C24 7C     lea     ecx, dword ptr [esp+7C]
004068AE   .  C68424 241903>mov     byte ptr [esp+31924], 0F
004068B6   .  E8 CF140100   call    <jmp.&MFC42.#641_CDialog::~CDial>
004068BB   .  8D4C24 54     lea     ecx, dword ptr [esp+54]
004068BF   .  C68424 241903>mov     byte ptr [esp+31924], 9
004068C7   .  E8 B4D1FFFF   call    00403A80
004068CC   .  E9 6C050000   jmp     00406E3D
004068D1   >  8D4C24 2C     lea     ecx, dword ptr [esp+2C]
004068D5   .  E8 C6D7FFFF   call    004040A0
004068DA   .  84C0          test    al, al
004068DC   .  74 41         je      short 0040691F                    跳就死
004068DE   .  53            push    ebx
004068DF   .  6A 04         push    4
004068E1   .  68 68254200   push    00422568                         ;  严重错误,即将关闭计算机.\n\n你确定要重新启动计算机吗?
004068E6   .  895C24 28     mov     dword ptr [esp+28], ebx
004068EA   .  E8 85150100   call    <jmp.&MFC42.#1200_AfxMessageBox>
004068EF   .  83F8 06       cmp     eax, 6
004068F2   .  75 12         jnz     short 00406906                    不跳就死
004068F4   >  53            push    ebx
004068F5   .  6A 04         push    4
004068F7   .  68 68254200   push    00422568                         ;  严重错误,即将关闭计算机.\n\n你确定要重新启动计算机吗?
004068FC   .  E8 73150100   call    <jmp.&MFC42.#1200_AfxMessageBox>
00406901   .  83F8 06       cmp     eax, 6
00406904   .^ 75 EE         jnz     short 004068F4
00406906   >  8D4424 1C     lea     eax, dword ptr [esp+1C]
0040690A   .  50            push    eax                              ; /pThreadId
0040690B   .  53            push    ebx                              ; |CreationFlags
0040690C   .  53            push    ebx                              ; |pThreadParm
0040690D   .  68 108C4000   push    00408C10                         ; |ThreadFunction = 19.00408C10
00406912   .  53            push    ebx                              ; |StackSize
00406913   .  53            push    ebx                              ; |pSecurity
00406914   .  FF15 30C04100 call    dword ptr [<&kernel32.CreateThre>; \CreateThread
0040691A   .  E9 1E050000   jmp     00406E3D
0040691F   >  8D4C24 2C     lea     ecx, dword ptr [esp+2C]
00406923   .  E8 68DFFFFF   call    00404890
00406928   .  84C0          test    al, al
0040692A   .  0F84 0D050000 je      00406E3D
00406930   .  8D4C24 2C     lea     ecx, dword ptr [esp+2C]
00406934   .  E8 E7E5FFFF   call    00404F20
00406939   .  84C0          test    al, al
0040693B   .  0F85 FC040000 jnz     00406E3D                         不跳就死

总结,本人对几个关键跳转做了以下修改
004067A6     /0F85 8A000000 jnz     00406836
004068DC     /75 41         jnz     short 0040691F
004068F2     /74 12         je      short 00406906
0040693B   . /0F84 FC040000 je      00406E3D

下bp ExitProcess 断点拦截后就不知道该如何继续返回程序了,请高手们指点

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (27)
雪    币: 144
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
:):):)
上传的附件:
2007-6-14 05:06
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
贴张图的寓意是什么?
2007-6-14 11:16
0
雪    币: 82
活跃值: (506)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
黑道上的啊!!!!
2007-6-14 11:31
0
雪    币: 9
活跃值: (127)
能力值: ( LV12,RANK:200 )
在线值:
发帖
回帖
粉丝
5
卡秋莎 把你的思路和破解方法说一下啊,那软件是个网络验证,验证到一个百度的博客上去读取字符串
2007-6-14 16:49
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
直接做个虚拟服务器
http://hi.baidu.com/tonight_moon
连接这里比较注册标志
62329510$72372687$34436317$57812072$212643582$73853028$$52353480$77660358$212603346
每一个8位数字是一个电脑的硬件码.发送到网站上进行比较,如果有则是注册版.
2007-6-14 17:40
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
7
正解 可否留个QQ交流
2007-6-14 17:50
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
本机做虚拟服务器打开 http://hi.baidu.com/tonight_moon  显示62329510$72372687$34436317$57812072$212643582$73853028$$52353480$77660358$212603346
这么一串。可怎么不成功呢~~汗~
2007-6-14 18:29
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
因为你的特征码没有在那个页面里
2007-6-14 18:37
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
谢谢大哥的热心,不知道可否有暴破的可能。
2007-6-14 19:15
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
安装IIS,在服务器的根目录建立个tonight_moon目录.然后在目录里建立个index.asp文件,内容是你的外网IP地址.启动虚拟服务器,就认证成功了
2007-6-14 19:37
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
果然!向你学习!今天真是搭LZ的顺风车受教了,非常谢谢大大鱼也谢谢LZ的问题,大大鱼人真不错!
原来  index.asp 可以是外网IP也可以是你的特征字。都能注册成功~~
2007-6-14 19:50
0
雪    币: 9
活跃值: (127)
能力值: ( LV12,RANK:200 )
在线值:
发帖
回帖
粉丝
13
我的机器码是2QY1-3EK7-2Q3E-6B2Q-

他是怎样进行转换的呢???
2007-6-14 23:33
0
雪    币: 9
活跃值: (127)
能力值: ( LV12,RANK:200 )
在线值:
发帖
回帖
粉丝
14
热烈庆祝暴破成功
2007-6-15 01:06
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
15
暴了 发个过程学习下
2007-6-15 07:49
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
9494~f发个教程,学习学习吧~
2007-6-15 16:57
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
路过~~~~~
2007-6-15 23:00
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
网络验证,又是它,来个人把它灭了......................
2007-6-16 08:37
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
问一个很没有技术含量的问题,见11楼的贴,ISS是什么,我破网络验证时,也见过IIS目录,但不知道在哪里.........
2007-6-16 08:41
0
雪    币: 9
活跃值: (127)
能力值: ( LV12,RANK:200 )
在线值:
发帖
回帖
粉丝
20
因为程序有自效验,所以我用了内存补丁来完成暴破过程,补丁我提供出来,把他放在原程序的目录里运行补丁就可以了!
上传的附件:
2007-6-16 10:32
0
雪    币: 9
活跃值: (127)
能力值: ( LV12,RANK:200 )
在线值:
发帖
回帖
粉丝
21
00403DE0  /$  6A FF         push    -1

在这里下硬件执行断点,F8向下走

00403DE0  /$  6A FF         push    -1
00403DE2  |.  68 A88F4100   push    00418FA8                         ;  SE 处理程序安装
00403DE7  |.  64:A1 0000000>mov     eax, dword ptr fs:[0]
00403DED  |.  50            push    eax
00403DEE  |.  64:8925 00000>mov     dword ptr fs:[0], esp
00403DF5  |.  83EC 10       sub     esp, 10
00403DF8  |.  53            push    ebx
00403DF9  |.  56            push    esi
00403DFA  |.  8BF1          mov     esi, ecx
00403DFC  |.  BB 01000000   mov     ebx, 1
00403E01  |.  68 44244200   push    00422444                         ;  http://hi.baidu.com/tonight%5fmoon
00403E06  |.  8D4C24 0C     lea     ecx, dword ptr [esp+C]
00403E0A  |.  895C24 24     mov     dword ptr [esp+24], ebx
00403E0E  |.  E8 55400100   call    00417E68                         ;  jmp 到 MFC42.#537_CString::CString
00403E13  |.  51            push    ecx
00403E14  |.  8D4424 30     lea     eax, dword ptr [esp+30]
00403E18  |.  8BCC          mov     ecx, esp
00403E1A  |.  896424 10     mov     dword ptr [esp+10], esp
00403E1E  |.  50            push    eax
00403E1F  |.  C64424 28 02  mov     byte ptr [esp+28], 2
00403E24  |.  E8 F13F0100   call    00417E1A                         ;  jmp 到 MFC42.#535_CString::CString
00403E29  |.  51            push    ecx
00403E2A  |.  8D5424 30     lea     edx, dword ptr [esp+30]
00403E2E  |.  8BCC          mov     ecx, esp
00403E30  |.  896424 18     mov     dword ptr [esp+18], esp
00403E34  |.  52            push    edx
00403E35  |.  C64424 2C 03  mov     byte ptr [esp+2C], 3
00403E3A  |.  E8 DB3F0100   call    00417E1A                         ;  jmp 到 MFC42.#535_CString::CString
00403E3F  |.  51            push    ecx                               取8位长度的机器码
00403E40  |.  8D4424 14     lea     eax, dword ptr [esp+14]
00403E44  |.  8BCC          mov     ecx, esp
00403E46  |.  896424 20     mov     dword ptr [esp+20], esp
00403E4A  |.  50            push    eax
00403E4B  |.  C64424 30 04  mov     byte ptr [esp+30], 4
00403E50  |.  E8 C53F0100   call    00417E1A                         ;  jmp 到 MFC42.#535_CString::CString
00403E55  |.  8BCE          mov     ecx, esi                         在http://hi.baidu.com/tonight%5fmoon查找8位机器码
00403E57  |.  C64424 2C 02  mov     byte ptr [esp+2C], 2
00403E5C  |.  E8 AF0E0000   call    00404D10
00403E61  |.  84C0          test    al, al
00403E63  |.  74 47         je      short 00403EAC                   注意:若找不到机器码则跳转到验证失败,所以这里也jne掉
00403E65  |.  8D4C24 08     lea     ecx, dword ptr [esp+8]
00403E69  |.  881D FC3A4200 mov     byte ptr [423AFC], bl
00403E6F  |.  885C24 20     mov     byte ptr [esp+20], bl
00403E73  |.  E8 063F0100   call    00417D7E                         ;  jmp 到 MFC42.#800_CString::~CString
00403E78  |.  8D4C24 28     lea     ecx, dword ptr [esp+28]
00403E7C  |.  C64424 20 00  mov     byte ptr [esp+20], 0
00403E81  |.  E8 F83E0100   call    00417D7E                         ;  jmp 到 MFC42.#800_CString::~CString
00403E86  |.  8D4C24 2C     lea     ecx, dword ptr [esp+2C]
00403E8A  |.  C74424 20 FFF>mov     dword ptr [esp+20], -1
00403E92  |.  E8 E73E0100   call    00417D7E                         ;  jmp 到 MFC42.#800_CString::~CString
00403E97  |.  8AC3          mov     al, bl
00403E99  |.  8B4C24 18     mov     ecx, dword ptr [esp+18]
00403E9D  |.  64:890D 00000>mov     dword ptr fs:[0], ecx
00403EA4  |.  5E            pop     esi
00403EA5  |.  5B            pop     ebx
00403EA6  |.  83C4 1C       add     esp, 1C
00403EA9  |.  C2 0800       retn    8
00403EAC  |>  8D4C24 08     lea     ecx, dword ptr [esp+8]
00403EB0  |.  C605 FC3A4200>mov     byte ptr [423AFC], 0

本文到此结束,由不死神鸟提供,作者QQ:6944455
2007-6-16 10:54
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
因为关键CALL → call 00403DE0
2007-6-16 11:48
0
雪    币: 236
活跃值: (46)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
下这个断点bp ExitProcess
应该没有用吧。
这个软件是网络验证注册类型的。
所以,应该下网络验证方面的断点。
2007-6-16 12:19
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
汗~下载的注册机编写工具有问题~还以为是程序有效验呢,换了一个就能用了
2007-6-16 12:31
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
学习.......路过............
2007-6-17 23:47
0
游客
登录 | 注册 方可回帖
返回
//