[求助]带壳可调试爆破成功，没能追到注册码，脱壳后N重校验，请高手指点！-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]带壳可调试爆破成功，没能追到注册码，脱壳后N重校验，请高手指点！ 0.00雪花

发表于: 2008-12-31 15:49 7564

[旧帖] [求助]带壳可调试爆破成功，没能追到注册码，脱壳后N重校验，请高手指点！ 0.00雪花

chen冰点

2008-12-31 15:49

7564

【破文标题】带壳可调试爆破成功，没能追到注册码，脱壳后N重校验，请高手指点！
【破文作者】七夜[CLTG]
【破解工具】OD  PEID
【破解平台】XP SP3
【软件名称】双色球神手 V6.20
【软件大小】1.85M
【原版下载】http://www.ssrjw.cn

首先请高人们捂住嘴再笑，看雪论坛是像我这些菜鸟学习和成长的地方，谢谢你们！新年快到了，先祝各位新快乐，2009发大财啊！此款软件集成了很多问题，很值得我们这些菜鸟来学习，由于能力有限，问题点写在后面，请牛人们跟贴指点，先谢啦！好了，言归正传！

【破解过程】
1.下载PEID查壳
壳是PECompact 2.x -> Jeremy Collake
由于脱壳后的自校验没能解决，这也是请牛人指教的地方，所以不脱壳了，直接干吧！
2.运行一下程序看有没有什么可用的信息，程序一启动除了本身的界面外，还多了个注册对话框，随便输入注册信息，确定，提示：注册码失败！
打开OD直接加载程序ssQss，下断点，bp MessageBoxA，输入随便输入注册信息，确定，程序断下，看右下角窗口，
0012E4B8 004867BF  /CALL 到 MessageBoxA 来自 ssQss.004867BA
0012E4BC 00060526  |hOwner = 00060526 ('ssqss',class='TApplication')
0012E4C0 0012E93B  |Text = "注册失败！"
0012E4C4 0012E552  |Title = "双色球神手"
0012E4C8 00000010  \Style = MB_OK|MB_ICONHAND|MB_APPLMODAL

右键菜单中查找ASCII字符串：注册失败
0061A9CB  |>  B8 18AA6100             MOV EAX,20080729.0061AA18       ;  注册失败！
往上看看，
0061A998  |.  E8 073FFCFF             CALL 20080729.005DE8A4    ; 关键CALL  在它前面一行下断点
0061A99D  |.  84C0                   TEST AL,AL
0061A99F  |.  74 2A                   JE SHORT 20080729.0061A9CB ; 从这里跳到注册失败
0061A9A1  |.  A1 5C766800             MOV EAX,DWORD PTR DS:[68765C]
0061A9A6  |.  8B16                   MOV EDX,DWORD PTR DS:[ESI]
0061A9A8  |.  8B52 08                MOV EDX,DWORD PTR DS:[EDX+8]
0061A9AB  |.  E8 64A3DEFF             CALL 20080729.00404D14
0061A9B0  |.  A1 7C6E6800             MOV EAX,DWORD PTR DS:[686E7C]
0061A9B5  |.  8B16                   MOV EDX,DWORD PTR DS:[ESI]
0061A9B7  |.  8B52 10                MOV EDX,DWORD PTR DS:[EDX+10]
0061A9BA  |.  E8 55A3DEFF             CALL 20080729.00404D14
0061A9BF  |.  C783 4C020000 01000000 MOV DWORD PTR DS:[EBX+24C],1
0061A9C9  |.  EB 0A                   JMP SHORT 20080729.0061A9D5
0061A9CB  |>  B8 18AA6100             MOV EAX,20080729.0061AA18       ;  注册失败！

在0061A998在它前面一行下断点，f9，确定，停在0061A998前面一行，f8单步，f7跟进0061A998 CALL，
f8单步，
005DE8AB 53             push ebx
005DE8AC 8BD8          mov    ebx, eax
005DE8AE 33C0          xor    eax, eax
005DE8B0 55             push ebp
005DE8B1 68 41E95D00    push 005DE941
005DE8B6 64:FF30       push dword ptr fs:[eax]
005DE8B9 64:8920       mov    dword ptr fs:[eax], esp
005DE8BC 8D4D F8       lea    ecx, dword ptr [ebp-8]
005DE8BF 33D2          xor    edx, edx
005DE8C1 8BC3          mov    eax, ebx
005DE8C3 E8 F8FCFFFF    call 005DE5C0
005DE8C8 8D55 FC       lea    edx, dword ptr [ebp-4]       ASCII "mte1os02mtGYlte5mti="
005DE8CB 8BC3          mov    eax, ebx
005DE8CD E8 CAFCFFFF    call 005DE59C
005DE8D2 807B 1C 00    cmp    byte ptr [ebx+1C], 0
005DE8D6 74 28          je    short 005DE900                            将je改为jmp
005DE8D8 8B55 FC       mov    edx, dword ptr [ebp-4]
005DE8DB 8B43 14       mov    eax, dword ptr [ebx+14]             机器码
005DE8DE E8 E9AFE2FF    call 004098CC
005DE8E3 85C0          test eax, eax
005DE8E5 75 0F          jnz    short 005DE8F6
005DE8E7 8B55 F8       mov    edx, dword ptr [ebp-8]    ASCII "nJeYms03mdi1ltuYmZy="
005DE8EA 8B43 10       mov    eax, dword ptr [ebx+10] ASCII "ndq1ogLQz2DMza=="
005DE8ED E8 DAAFE2FF    call 004098CC
005DE8F2 85C0          test eax, eax
005DE8F4 74 04          je    short 005DE8FA
005DE8F6 33C0          xor    eax, eax
005DE8F8 EB 02          jmp    short 005DE8FC
005DE8FA B0 01          mov    al, 1
005DE8FC 8BD8          mov    ebx, eax
005DE8FE EB 26          jmp    short 005DE926
005DE900 8B55 FC       mov    edx, dword ptr [ebp-4]
005DE903 8B43 0C       mov    eax, dword ptr [ebx+C]
005DE906 E8 C1AFE2FF    call 004098CC
005DE90B 85C0          test eax, eax
005DE90D 75 0F          jnz    short 005DE91E                                  将此 nop
005DE90F 8B55 F8       mov    edx, dword ptr [ebp-8]
005DE912 8B43 10       mov    eax, dword ptr [ebx+10]
005DE915 E8 B2AFE2FF    call 004098CC
005DE91A 85C0          test eax, eax
005DE91C 74 04          je    short 005DE922             将je改为jmp 跳则OK
005DE91E 33C0          xor    eax, eax

F9运行，就可以看到注册成功啦！！！！
还有一个方法就是不跟进CALL ，直截将0061A99F  |.  74 2A                   JE SHORT 20080729.0061A9CB ; 从这里跳到注册失败这个地方NOP掉也是可以注册成功的。
以上就是未脱壳调试爆破过程。美中不足啊！！

问题遗留：
第一。未能分析出注册码
第二。脱壳后的软件有多重校验，程序起动一闪而过，未能解决
第三。大家看下面代码，是不是有注册机校验，

00671789  |.  55          push ebp
0067178A  |.  68 63186700 push 00671863
0067178F  |.  64:FF30    push dword ptr fs:[eax]
00671792  |.  64:8920    mov    dword ptr fs:[eax], esp
00671795  |.  BB 01000000 mov    ebx, 1
0067179A  |>  FF36       /push dword ptr [esi]
0067179C  |.  8D55 F8    |lea    edx, dword ptr [ebp-8]
0067179F  |.  8BC3       |mov    eax, ebx
006717A1  |.  E8 D687D9FF |call 00409F7C
006717A6  |.  FF75 F8    |push dword ptr [ebp-8]
006717A9  |.  68 78186700 |push 00671878                      ;  .exe
006717AE  |.  8D45 FC    |lea    eax, dword ptr [ebp-4]
006717B1  |.  BA 03000000 |mov    edx, 3
006717B6  |.  E8 9538D9FF |call 00405050
006717BB  |.  8B45 FC    |mov    eax, dword ptr [ebp-4]
006717BE  |.  E8 818ED9FF |call 0040A644
006717C3  |.  84C0       |test al, al
006717C5  |.  74 08       |je    short 006717CF
006717C7  |.  8B45 FC    |mov    eax, dword ptr [ebp-4]
006717CA  |.  E8 6990D9FF |call 0040A838
006717CF  |>  43          |inc    ebx
006717D0  |.  83FB 65    |cmp    ebx, 65
006717D3  |.^ 75 C5       \jnz    short 0067179A
006717D5  |.  8B16       mov    edx, dword ptr [esi]
006717D7  |.  8D45 FC    lea    eax, dword ptr [ebp-4]
006717DA  |.  B9 88186700 mov    ecx, 00671888                   ;  注册机.exe
006717DF  |.  E8 F837D9FF call 00404FDC
006717E4  |.  8B45 FC    mov    eax, dword ptr [ebp-4]
006717E7  |.  E8 588ED9FF call 0040A644
006717EC  |.  84C0       test al, al
006717EE  |.  74 08       je    short 006717F8
006717F0  |.  8B45 FC    mov    eax, dword ptr [ebp-4]
006717F3  |.  E8 4090D9FF call 0040A838
006717F8  |>  FF36       push dword ptr [esi]
006717FA  |.  68 9C186700 push 0067189C                      ;  双色球神手
006717FF  |.  68 88186700 push 00671888                      ;  注册机.exe
00671804  |.  8D45 FC    lea    eax, dword ptr [ebp-4]
00671807  |.  BA 03000000 mov    edx, 3
0067180C  |.  E8 3F38D9FF call 00405050
00671811  |.  8B45 FC    mov    eax, dword ptr [ebp-4]
00671814  |.  E8 2B8ED9FF call 0040A644
00671819  |.  84C0       test al, al
0067181B  |.  74 08       je    short 00671825
0067181D  |.  8B45 FC    mov    eax, dword ptr [ebp-4]
00671820  |.  E8 1390D9FF call 0040A838
00671825  |>  8B16       mov    edx, dword ptr [esi]
00671827  |.  8D45 FC    lea    eax, dword ptr [ebp-4]
0067182A  |.  B9 B0186700 mov    ecx, 006718B0                   ;  crack.exe
0067182F  |.  E8 A837D9FF call 00404FDC
00671834  |.  8B45 FC    mov    eax, dword ptr [ebp-4]
00671837  |.  E8 088ED9FF call 0040A644
0067183C  |.  84C0       test al, al
0067183E  |.  74 08       je    short 00671848
00671840  |.  8B45 FC    mov    eax, dword ptr [ebp-4]

以上问题请高人指点，本人只是菜鸟一只，~~~~~~~~~~~~~~~~~~~~~~~~`

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (16)
zheng郑雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	zheng郑 2 楼你是不是还没学自校验的去除，赶紧去学，本人比你还菜，但已经看完自校验，有大小等，忘了。 2008-12-31 16:00 0
icefisher 雪币： 93 活跃值： (43) 能力值： ( LV9，RANK：140 ) 在线值：发帖 12 回帖 57 粉丝 0 关注私信	icefisher 3 3 楼 http://bbs.pediy.com/showthread.php?t=74950&highlight=pecompact 把这篇好好看下。。我没跟完，但估计和这个问题是一样的 2008-12-31 17:16 0
chen冰点雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	chen冰点 4 楼谢谢，但这个是新版本的，把我脱壳的都删掉了，我一时没跟到，而且不仅仅是校验大小吧！！！请指教！！！ 2008-12-31 23:16 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 5 楼作者很YX 注册码明文要构建注册文件！自己去跟吧。我脱壳去了校验并且给你去了关闭的时的弹出网页，剩下的，自己走上传的附件： UnPackED.part1.rar （585.94kb，62次下载） UnPackED.part2.rar （465.67kb，56次下载） 2009-1-1 00:31 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 6 楼分析完毕作者真的很阴不过已经解决无KEY注册的问题。看完演示后，可以发邮件给我，我已附件形式传送，商业软件不易公开上传的附件： crack.rar （600.93kb，132次下载） 2009-1-1 01:39 0
xieyuzhe 雪币： 337 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 119 粉丝 0 关注私信	xieyuzhe 7 楼呵呵，又出新的版本了，7.0的了 2009-1-2 01:55 0
Ella 雪币： 564 活跃值： (12) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 225 粉丝 0 关注私信	Ella 1 8 楼又见peeler大牛活跃于论坛，都快忘了有peeler大牛了~~~~~~~ 2009-1-2 09:58 0
chenhai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	chenhai 9 楼新版本7.0一定要注册文件,不能试用了 2009-1-6 20:36 0
chen冰点雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	chen冰点 10 楼看了icefisher 大哥的文章，我已经把这个这几个问题解决了，只有注册部分了，路过的N人们来帮帮分析，谢谢peeler 大哥！！！ 2009-1-6 21:26 0
chen冰点雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	chen冰点 11 楼这个软件我试过爆破，但里面的程序有些功能会出错，就是把五处地方给nop掉。 2009-1-6 21:32 0
kyuanquan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	kyuanquan 12 楼我用Process Monitor查看调用那些文件，发现他从1-99.exe、crack.exe 、双色球神手注册机.exe都在调用，应该是发现了这些文件就删除了。我在调试时用了1.exe再运行原程序调试后的程序就被删除了 2009-1-29 07:23 0
水瓜雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	水瓜 13 楼追sRegFile文件.没有分析到关键点.有熟悉这种信息验证模式的.给点思路.最近该软件的版本没有明码.只能验证信息文件 2009-1-30 13:08 0
平民雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	平民 14 楼这个软件应该如何破呀,我怎么改了,虽然成功注册了,但每次都要注册的? 2009-2-7 11:42 0
theendone 雪币： 270 活跃值： (117) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 239 粉丝 0 关注私信	theendone 15 楼呵呵，进来学习了，感谢分享 2009-2-28 22:40 0
陈真雪币： 205 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 38 粉丝 0 关注私信	陈真 16 楼这个软件我也试过，壳可以脱掉，当脱掉后就不能运行了，一运行就退出来了，也就是你们说的自检验吧 2009-3-13 09:41 0
陈真雪币： 205 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 38 粉丝 0 关注私信	陈真 17 楼有没有人能写个破文啊？急学习啊 2009-3-13 09:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

chen冰点

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
zheng郑雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	zheng郑 2 楼你是不是还没学自校验的去除，赶紧去学，本人比你还菜，但已经看完自校验，有大小等，忘了。 2008-12-31 16:00 0
icefisher 雪币： 93 活跃值： (43) 能力值： ( LV9，RANK：140 ) 在线值：发帖 12 回帖 57 粉丝 0 关注私信	icefisher 3 3 楼 http://bbs.pediy.com/showthread.php?t=74950&highlight=pecompact 把这篇好好看下。。我没跟完，但估计和这个问题是一样的 2008-12-31 17:16 0
chen冰点雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	chen冰点 4 楼谢谢，但这个是新版本的，把我脱壳的都删掉了，我一时没跟到，而且不仅仅是校验大小吧！！！请指教！！！ 2008-12-31 23:16 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 5 楼作者很YX 注册码明文要构建注册文件！自己去跟吧。我脱壳去了校验并且给你去了关闭的时的弹出网页，剩下的，自己走上传的附件： UnPackED.part1.rar （585.94kb，62次下载） UnPackED.part2.rar （465.67kb，56次下载） 2009-1-1 00:31 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 6 楼分析完毕作者真的很阴不过已经解决无KEY注册的问题。看完演示后，可以发邮件给我，我已附件形式传送，商业软件不易公开上传的附件： crack.rar （600.93kb，132次下载） 2009-1-1 01:39 0
xieyuzhe 雪币： 337 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 119 粉丝 0 关注私信	xieyuzhe 7 楼呵呵，又出新的版本了，7.0的了 2009-1-2 01:55 0
Ella 雪币： 564 活跃值： (12) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 225 粉丝 0 关注私信	Ella 1 8 楼又见peeler大牛活跃于论坛，都快忘了有peeler大牛了~~~~~~~ 2009-1-2 09:58 0
chenhai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	chenhai 9 楼新版本7.0一定要注册文件,不能试用了 2009-1-6 20:36 0
chen冰点雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	chen冰点 10 楼看了icefisher 大哥的文章，我已经把这个这几个问题解决了，只有注册部分了，路过的N人们来帮帮分析，谢谢peeler 大哥！！！ 2009-1-6 21:26 0
chen冰点雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	chen冰点 11 楼这个软件我试过爆破，但里面的程序有些功能会出错，就是把五处地方给nop掉。 2009-1-6 21:32 0
kyuanquan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	kyuanquan 12 楼我用Process Monitor查看调用那些文件，发现他从1-99.exe、crack.exe 、双色球神手注册机.exe都在调用，应该是发现了这些文件就删除了。我在调试时用了1.exe再运行原程序调试后的程序就被删除了 2009-1-29 07:23 0
水瓜雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	水瓜 13 楼追sRegFile文件.没有分析到关键点.有熟悉这种信息验证模式的.给点思路.最近该软件的版本没有明码.只能验证信息文件 2009-1-30 13:08 0
平民雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	平民 14 楼这个软件应该如何破呀,我怎么改了,虽然成功注册了,但每次都要注册的? 2009-2-7 11:42 0
theendone 雪币： 270 活跃值： (117) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 239 粉丝 0 关注私信	theendone 15 楼呵呵，进来学习了，感谢分享 2009-2-28 22:40 0
陈真雪币： 205 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 38 粉丝 0 关注私信	陈真 16 楼这个软件我也试过，壳可以脱掉，当脱掉后就不能运行了，一运行就退出来了，也就是你们说的自检验吧 2009-3-13 09:41 0
陈真雪币： 205 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 38 粉丝 0 关注私信	陈真 17 楼有没有人能写个破文啊？急学习啊 2009-3-13 09:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复