WinXP 关于POINT-H万能断点 的教程
【文章标题】: WinXP 关于POINT-H万能断点 的教程
【文章译者】: NBA2005
【作者邮箱】: [email]stockfox1699@126.com[/email]
【作者QQ号】: 382309369
创作《算法分析实战篇和应用篇之提高(一)我的常用断点系统 》,顺手对该文
进行了翻译,前后共三个小时。
原E文地址:
by Ricardo Narvaja
http://www.redrival.com/immlep/doc/Punto_H_english.rar
作者 Ricardo Narvaja | 邮箱 [email]ricnar22@millic.com.ar[/email]
时间 :22.Dec.2oo2
内容:
在Windows XP里用OllyDbg 学习使用与WIN98功效相似的万能断点法POINT H。
附件:
Crackme v1.0 de Cruehead
http://www.darmozjad.host.sk/import.php3
工具:
OllyDbg 1.08b
教程正文
摘要
WIN98的万能断点BPX Hmemcpy众所周知。在WinXP系统中,有没有方法在OllyDbg中
再现破解巨星“BPX Hmemcpy”的独特魅力呢?通俗地说,就是:如何在被破解程序读取
你输入的用户名或注册码时断下的方法。本文就是教你如何将上述梦想变成现实。
XP万能断点(俗称point-h)对每台机器的系统是唯一的,可以在USER32.DLL里找到。
这种断点法适用于C++, VB, Delphi, ASM,或其他语言编写的程序。
在我的机器上如何找到这个神奇的point-h?
为了方便解说,我选了一个可以跨系统正常运行且十分简单的CRACK ME 做讲解的例子。
上面的附件里有下载。详细介绍如下:
1.在OD中打开附件下载的CRACK ME。
2.一般的方法:右键--〉查看模块--〉点USER32.DLL,右键--〉查找当前模块中的名称,相当于CTRL+N。
3.寻找Translatemessage,右键--〉条件记录断点。相当于SHIFT+F4。
译者注释:因文中工具OllyDbg 1.08b版本较老,我根据自己的理解和破解体会、试验,
采取了意译。(示范图1)。具体的2.和3.步骤与原文有出入,但易于操作和理解。
示范图2
注释1:在一些系统中,在条件记录断点设置界面,条件项中填:MSG==201;
201这个值有时会失效,到不了XP万能断点。这时我就填入:MSG==202。
表达式填:MSG,
解码表达式的值为:通过表达式假定。
暂停程序选:按条件。
记录表达数值和记录函数参数:都选从不(NEVER)。条件满足次数没提,取默认值零。
4.运行程序。
5.分别输入用户名和注册码:
Name : narvaja
Serial: 1A2B3C4D5E
示范图3
注释2.当然你可以输入别的用户名和注册码,但 1A2B3C4D5E几乎是唯一的,便于找到确定。
6.按OK按钮。
7.OD会停在条件记录断点处(示范图4)。
示范图4
8.ALT+M打开内存镜像,在内存镜像内右键查找-->在二进制查找中填序列号1A2B3C4D5E(示范图5)。
示范图5
9.点确定开始在内存中搜索1A2B3C4D5E。断下,在找到的字符串上右键选内存访问断点。
示范图6
10.运行(F9),哈哈,OD居然恰恰断在了POINT H处(示范图7)。
示范图7
77D29303 F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>
这个地方正是我机器上的POINT H。这个CRACK ME 仅仅用来介绍如何找到POINT H。
在以下的例子中,我们将在XP系统中介绍POINT H的具体断法,再现WIN98下万能断点的神奇。
POINT H的具体断法例子:
例1.下面我先用CRACK ME 2举例。步骤如下:
1.在OD中打开CRACK ME 2,输入用户名和序列号,如示范图11:
示范图11
2.在WIN98中,我们会BPX HMEMCPY来设断。然而,在现在的XP中,我们设断:BPX POINT H的值。
由于POINT H实际上位于USER32.DLL里,我们右键查看执行模块-->选USER32(来到USER32区域),
CTRL+G 填77D29303 (我的系统的POINT H) ,设内存访问断点(示范图12)。
示范图12
3.回到CRACK ME 2注册界面,按CHECK。
4.OD在POINT H处断下。(示范图13)。
这种断法的原理和WIN98下的HMEMCPY是一样的。第一次的断下动作与用户名有
关(观察寄存器窗口,我们注意到ESI=narjava,正是我们的用户名)。再接着运行(F9),
这次的断下动作与序列号有关(寄存器窗口中,ESI=989898,正是我们的序列号,示范图14)。
示范图14
第一次断下时,很可能程序正在读取用户名;指令反汇编代码 REP MOV [EDI],ESI 说明序列号在
第二次断下时正赋值给EDI。因此,我们在EDI寄存器上右键,选数据窗口中跟随,随后一直按F8直到
序列号载入内存{换句话说,一直按F8直到 call USER32.77D28C15(或你机器上的POINT H值),
图例见示范图15}。在内存窗口中,在假序列号(393839383938)设内存访问断点,最后运行(F9)。
示范图15
OD将断在kernel32.继续运行(F9),直到程序返回crackme2的领空。终于我们发现,我们正好断在
程序对crackme2的注册信息进行判断的过程中。
示范图16
例子2.
Idesk是一个UPX加壳的delphi程序。这个壳很容易脱
掉(例如,用基本的脱壳工具Unpacker W32来脱)。试
运行脱壳后的delphi程序,发现无提示。然而,应用
POINT H万能断点法,我们能在程序读取假序列号时迅速
断下:
1.在OD打开脱壳后的Idesk 程序。
2.运行(F9)程序。
3.按OK,打开主程序界面(右下角有一个三角形,示范图17)
示范图17
4.点三角(示范图18),再点ACERCA DE IDESK,随后按出
现的注册按钮。注册界面打开了。咦,序列号在第一个
编辑框,用户名反而在下面的编辑框(示范图19)。
示范图18
示范图19
5.输入序列号和用户名。要注意机器码55157265是唯一的。
6.在POINT H处设断点。
7.运行(F9),程序在POINT H处断下(序列号编辑框)。
8.现在,再运行(F9),断在用户名处,又一次运行(F9),
断在序列号处。
9.在寄存器窗口EDI,右键EDI,选数据窗口中跟随跟踪,
直到 call USER32.77D28C15(或你机器上的POINT H值),
见示范图20。
10.;在数据窗口内,在内存中注册码处(本例是989898),
设内存访问断点。
示范图20
11.运行跟踪后,程序断在了Idesk领空:
00402E0F 8A1E MOV BL,BYTE PTR DS:[ESI]
12.用F8跟踪,直到遇到RETN。这样,程序来到了验证
序列号的关键处:
004C9DB6 A3 04B55200 MOV DWORD PTR DS:[52B504],EAX
004C9DBB A1 00B55200 MOV EAX,DWORD PTR DS:[52B500]
004C9DC0 3B05 04B55200 CMP EAX,DWORD PTR DS:[52B504]
在004C9DC0处,程序把 F1ACA (=989898d) 和 7CE55进行
了比较,关键啊。因此,正确的序列号是511573 (=7CE55h) ?
如果你有OD命令行插件,你可以直接对POINT H设断:
BPX 77D28C15(或你机器上的POINT H值)。
换句话说,不需要每次都在USER32中找POINT H。
Ricardo Narvaja
最后提示:
如有疑问,可和我联系解决,或通过我们的破解网站讨论:
ricnar?????
dalnet #crackslatinos
感谢Crackslatinos List的所有成员。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课