首页
社区
课程
招聘
[旧帖] [求助]EXE文件被加密如何破解 0.00雪花
发表于: 2007-6-25 20:02 24389

[旧帖] [求助]EXE文件被加密如何破解 0.00雪花

2007-6-25 20:02
24389
我学习破解一个软件的过程 先查壳是ASPack 2.12 -> Alexey Solodovnikov的壳手动脱壳后查是Microsoft Visual Basic 5.0 / 6.0编的 由于这个程序是注册不成功没有提示 我想用OD查看是否有注册成功的提示 结果什么也没有 用ResHacker 3.5程序打开提示“该文件有非标准资源 它可能被 EXE压缩器 压缩了”望高手指点 我很菜请说的详细些 不胜感激

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (21)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
下载地址是http://j.thec.cn/hbzsg/
2007-6-25 20:06
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
我很怀疑你‘手动脱壳后....’这句。
2007-6-25 20:21
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
不用怀疑 ESP就脱了
2007-6-25 20:32
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
晕, 能把脱壳的过程放上来吗
2007-6-25 21:49
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
首先OD载入
0056C001 >  60              PUSHAD                                                    //停在这里
0056C002    E8 03000000     CALL 彩电精修.0056C00A
0056C007  - E9 EB045D45     JMP 45B3C4F7
0056C00C    55              PUSH EBP
0056C00D    C3              RETN
0056C00E    E8 01000000     CALL 彩电精修.0056C014
0056C013    EB 5D           JMP SHORT 彩电精修.0056C072
0056C015    BB EDFFFFFF     MOV EBX,-13
0056C01A    03DD            ADD EBX,EBP
0056C01C    81EB 00C01600   SUB EBX,16C000
0056C022    83BD 22040000 0>CMP DWORD PTR SS:[EBP+422],0
0056C029    899D 22040000   MOV DWORD PTR SS:[EBP+422],EBX
0056C02F    0F85 65030000   JNZ 彩电精修.0056C39A
0056C035    8D85 2E040000   LEA EAX,DWORD PTR SS:[EBP+42E]
0056C03B    50              PUSH EAX
0056C03C    FF95 4D0F0000   CALL NEAR DWORD PTR SS:[EBP+F4D]
0056C042    8985 26040000   MOV DWORD PTR SS:[EBP+426],EAX

F8单步一下
ESP变红在ESP上点右键/数据窗口跟随
0012FFA4  38 07 93 7C FF FF FF FF F0 FF 12 00 C4 FF 12 00  8搢?.?.        //数据窗口这里点右键设
                                                                                                                                             硬件访问断点
                                                                                                                                             
0012FFB4  00 80 FD 7F 94 EB 92 7C B0 FF 12 00 00 00 00 00  .€?旊抾?.....
0012FFC4  D7 6F 81 7C 38 07 93 7C FF FF FF FF 00 80 FD 7F  護亅8搢.€?
0012FFD4  38 BB 54 80 C8 FF 12 00 08 94 76 FF FF FF FF FF  8籘€?.攙
0012FFE4  A8 9A 83 7C E0 6F 81 7C 00 00 00 00 00 00 00 00  億鄌亅........
0012FFF4  00 00 00 00 01 C0 56 00 00 00 00 00              ....繴.....
F9运行一下
0056C3B0   /75 08           JNZ SHORT 彩电精修.0056C3BA                     //被拦截 来到这里
0056C3B2   |B8 01000000     MOV EAX,1
0056C3B7   |C2 0C00         RETN 0C
0056C3BA   \68 68474000     PUSH 彩电精修.00404768                       ; ASCII "hLI@"
0056C3BF    C3              RETN
0056C3C0    8B85 26040000   MOV EAX,DWORD PTR SS:[EBP+426]
0056C3C6    8D8D 3B040000   LEA ECX,DWORD PTR SS:[EBP+43B]
0056C3CC    51              PUSH ECX
0056C3CD    50              PUSH EAX
0056C3CE    FF95 490F0000   CALL NEAR DWORD PTR SS:[EBP+F49]
0056C3D4    8985 55050000   MOV DWORD PTR SS:[EBP+555],EAX
0056C3DA    8D85 47040000   LEA EAX,DWORD PTR SS:[EBP+447]
0056C3E0    50              PUSH EAX
0056C3E1    FF95 510F0000   CALL NEAR DWORD PTR SS:[EBP+F51]
0056C3E7    8985 2A040000   MOV DWORD PTR SS:[EBP+42A],EAX
0056C3ED    8D8D 52040000   LEA ECX,DWORD PTR SS:[EBP+452]
0056C3F3    51              PUSH ECX
0056C3F4    50              PUSH EAX
0056C3F5    FF95 490F0000   CALL NEAR DWORD PTR SS:[EBP+F49]

点调试/硬件断点/删除断点
F8单步3下来到这里
00404768    68 4C494000     PUSH 彩电精修.0040494C                                            //这里用OD脱壳就可以了
0040476D    E8 F0FFFFFF     CALL 彩电精修.00404762                       ; JMP 到 msvbvm60.ThunRTMain
00404772    0000            ADD BYTE PTR DS:[EAX],AL
00404774    0000            ADD BYTE PTR DS:[EAX],AL
00404776    0000            ADD BYTE PTR DS:[EAX],AL
00404778    3000            XOR BYTE PTR DS:[EAX],AL
0040477A    0000            ADD BYTE PTR DS:[EAX],AL
0040477C    40              INC EAX
0040477D    0000            ADD BYTE PTR DS:[EAX],AL
0040477F    0000            ADD BYTE PTR DS:[EAX],AL
00404781    0000            ADD BYTE PTR DS:[EAX],AL
00404783    0084E2 2DB762B2 ADD BYTE PTR DS:[EDX+B262B72D],AL
0040478A    0D 4C8F01A0     OR EAX,A0018F4C
0040478F    DB2CFE          FLD TBYTE PTR DS:[ESI+EDI*8]
00404792    DA2F            FISUBR DWORD PTR DS:[EDI]
00404794    0000            ADD BYTE PTR DS:[EAX],AL

高手请指点
2007-6-26 21:12
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
0056C3B0   /75 08           JNZ SHORT 彩电精修.0056C3BA                     //被拦截 来到这里
0056C3B2   |B8 01000000     MOV EAX,1
0056C3B7   |C2 0C00         RETN 0C
0056C3BA   \68 68474000     PUSH 彩电精修.00404768                       ; ASCII "hLI@"

往上翻看看, 应该有CMP 或TEST之类的的吧
偶也是新手,瞎猜
2007-6-26 23:03
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
有很多cmp和test和jmp不过有什么用 请指点我很菜
2007-6-27 21:27
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
大侠们不要光笑我 指点指点呀
2007-6-28 19:38
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
大侠们不要光笑我 指点指点呀
2007-6-28 21:00
0
雪    币: 9
活跃值: (127)
能力值: ( LV12,RANK:200 )
在线值:
发帖
回帖
粉丝
11
有15次的使用限制。。。。。。。。。。
2007-6-29 06:57
0
雪    币: 9
活跃值: (127)
能力值: ( LV12,RANK:200 )
在线值:
发帖
回帖
粉丝
12
那是个功能演示版,破解了也没用的,有很多插件都没有,还是需要原版
2007-6-29 07:11
0
雪    币: 9
活跃值: (127)
能力值: ( LV12,RANK:200 )
在线值:
发帖
回帖
粉丝
13
0052D1D8     /0F85 3B030000 jnz     0052D519

把JNZ改成JE就可以有无限的使用次数了
2007-6-29 07:17
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
大侠,每次你都这么回答,能不能告诉为什么啊!谢谢!呵呵!
这问的是不是很弱智.呵呵!呵呵!
2007-6-29 11:26
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
我只是学习 并不想用它 望大侠说的详细些 我们菜鸟将感激不尽 先谢了
2007-6-29 12:10
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
没法帮,我也看不明白.
2007-6-29 12:36
0
雪    币: 9
活跃值: (127)
能力值: ( LV12,RANK:200 )
在线值:
发帖
回帖
粉丝
17
0052D1D8     /0F85 3B030000 jnz     0052D519这里限制了使用次数
2007-6-29 12:50
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
高手呀 怎样找他的字符串 和追注册码
2007-6-29 18:04
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
高手们给点意见或者提示
2007-6-30 21:34
0
雪    币: 100
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
下api断点试下呀,不是只有字符串方式的哈
2007-6-30 21:39
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
先谢了 我试试
2007-6-30 21:57
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
是重启验证 在那下段
2007-7-1 21:17
0
游客
登录 | 注册 方可回帖
返回
//