首页
社区
课程
招聘
[原创]破解一般外挂网路验证 提供一个好工具申请加精
发表于: 2009-3-12 22:53 7935

[原创]破解一般外挂网路验证 提供一个好工具申请加精

2009-3-12 22:53
7935
先用PEID查壳, 老规矩了.
Microsoft Visual Basic 5.0 / 6.0
VB写的,无壳.
接着我们看看关键字符串
注册码错!
这还是个重启验证, 也就是点完注册框会自动退出软件,并且把注册信息保存到其他地方(如注册表,ini等文件)
我们在这要用到个新工具, C32
小生我怕怕的工具包就有, 我们打开它
拖拽进去
使用C32的查找字符串
都是乱码..
VB的程序就是这样的, 如果用OD查根本查不到!
我们现在就要点 编辑 - 查找unicode字符串
找到了. 记录这个地址
0047B30B
顺便把成功的地址也记一下
0047B28B
下面我们关闭C32 用OD载入
复制地址, 用OD的跟随
看我操作
我们试运行一下
OK, 现在是注册版本了
就这么简单
如果还有什么问题在论坛问我吧
这是一般网路验证。。。

自己下载 C32Asm  工具

在里面看到一位爆破者是这样爆破的
第一处:
0061A515   .  E8 468ADEFF   CALL UnPackED.00402F60
0061A51A   .  8B45 EC       MOV EAX,DWORD PTR SS:[EBP-14]
0061A51D   .  8D55 F0       LEA EDX,DWORD PTR SS:[EBP-10]
0061A520   .  E8 4704DFFF   CALL UnPackED.0040A96C
0061A525   .  8B55 F0       MOV EDX,DWORD PTR SS:[EBP-10]
0061A528   .  8D45 F8       LEA EAX,DWORD PTR SS:[EBP-8]
0061A52B   .  B9 00A86100   MOV ECX,UnPackED.0061A800               ;  sRegFile.Dat      这里是检测有没有注册的文件,想让他启动不检测注册
0061A530   .  E8 A7AADEFF   CALL UnPackED.00404FDC
0061A535   .  84DB          TEST BL,BL
0061A537      0F85 D3000000 JNZ UnPackED.0061A610就把这里改成JZ
0061A53D   .  A1 0C6F6800   MOV EAX,DWORD PTR DS:[686F0C]
0061A542   .  8038 00       CMP BYTE PTR DS:[EAX],0
0061A545   .  0F84 7F020000 JE UnPackED.0061A7CA

第二处是:

0061A991  |.  E8 7EA3DEFF   CALL UnPackED.00404D14
0061A996  |.  8B06          MOV EAX,DWORD PTR DS:[ESI]
0061A998  |.  E8 073FFCFF   CALL UnPackED.005DE8A4
0061A99D  |.  84C0          TEST AL,AL
0061A99F      74 2A         JE SHORT UnPackED.0061A9CB这里就是注册的关键吧,爆破就把这里改成JNE
0061A9A1  |.  A1 5C766800   MOV EAX,DWORD PTR DS:[68765C]
0061A9A6  |.  8B16          MOV EDX,DWORD PTR DS:[ESI]
0061A9A8  |.  8B52 08       MOV EDX,DWORD PTR DS:[EDX+8]
0061A9AB  |.  E8 64A3DEFF   CALL UnPackED.00404D14
0061A9B0  |.  A1 7C6E6800   MOV EAX,DWORD PTR DS:[686E7C]
0061A9B5  |.  8B16          MOV EDX,DWORD PTR DS:[ESI]
0061A9B7  |.  8B52 10       MOV EDX,DWORD PTR DS:[EDX+10]
0061A9BA  |.  E8 55A3DEFF   CALL UnPackED.00404D14
0061A9BF  |.  C783 4C020000>MOV DWORD PTR DS:[EBX+24C],1
0061A9C9  |.  EB 0A         JMP SHORT UnPackED.0061A9D5
0061A9CB  |>  B8 18AA6100   MOV EAX,UnPackED.0061AA18               ;  注册失败!
只要改掉这两处,爆破就成功了,关于自检验我就不知道了,这软件脱了壳后运行就自动退出了。希望有大侠能写出一篇完整的破文,在这要谢谢看雪给出这么好的平台,让我们菜鸟也有了一遍天地。谢谢~!!!!

0061A52B   .  B9 00A86100   MOV ECX,UnPackED.0061A800 段可用Ollydbg软件跳过验证  先用超级字串查找ASCII或UNICODE 查处验证字串段 用二进制NOP全部填充即可

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (18)
雪    币: 546
活跃值: (1672)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
2
楼主发的什么东西?自娱自乐吗?
2009-3-13 01:08
0
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
顶下楼上的  楼主的出发点是好的  可是内容太让人震撼了..........
另外现在一般的外挂也要比这个的保护强大的多吧....  

ps: 这个要加精了  看雪估计是真没人了.....   不好意思 我实话实说 ....
2009-3-13 08:55
0
雪    币: 209
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
这都敢申请加精!真是有才啊!
2009-3-13 09:28
0
雪    币: 1074
活跃值: (160)
能力值: ( LV13,RANK:760 )
在线值:
发帖
回帖
粉丝
5
恕我冒昧,都不知道你在讲些什么
2009-3-13 09:58
0
雪    币: 235
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
加精不了。
完全是步骤说明。
2009-3-13 12:09
0
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
7
这不加精不行
2009-3-13 12:13
0
雪    币: 1027
活跃值: (256)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
8
"我们在这要用到个新工具, C32"
敢问楼主,这个C32新吗??
可能对刚接触这个能将就说“新”吧
2009-3-13 13:25
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
我最近下了个程序,里面多出个dll文件,可能是起劫持盗号的作用,我发出来看哪位能帮忙破解下,不胜感激。
http://jiaoben.qupan.com/2484772.html
2009-3-13 14:17
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
其实我也不懂楼主在说什么
2009-4-3 09:54
0
雪    币: 47147
活跃值: (20465)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
11
忧虑天使头像是本人吧?很帅
感谢你与我们分享心得,看雪论坛很欢迎这点的。
有个问题就是,文章结构不太清晰
2009-4-3 17:29
0
雪    币: 140
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
晕`讲的啥?
2009-4-3 23:43
0
雪    币: 229
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
破解程序没有提供。
2009-4-4 00:01
0
雪    币: 210
活跃值: (51)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
卧槽。。强帖。。加精啊版主。。看完我功力大增。
2009-4-7 04:41
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
楼主发的什么啊。没看懂。。。知道你说的是破解思路。但你到是写的详细点啊
2009-4-7 08:04
0
雪    币: 421
活跃值: (83)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
16
建议版主设立 年度最佳牛粪奖。
见到此类帖子一率给予奖励,以资鼓励
2009-4-7 12:46
0
雪    币: 261
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
坛主给的评价太高了
看完之后觉得只是让外挂显示注册版本,功能上是否实现未知。确切说只是相当于爆破了一个重启验证的CM,总体感觉:
1、可能是CS,
“在里面看到一位爆破者是这样爆破的
第一处:
0061A515   .  E8 468ADEFF   CALL UnPackED.00402F60
……”
2、自校验没去除
3、VB中字符串都是乱码,如何确定是0061A52B这行
4、爆破之后没有说明是否能用
2009-4-8 22:44
0
雪    币: 115
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
还以为是某个早期破解录像的解说词呢!
F8。。。。。。
2009-4-9 00:00
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
外挂网路验证
还是个重启验证
关于自检验
我们在这要用到个新工具, C32
就这么简单
2009-4-9 00:24
0
游客
登录 | 注册 方可回帖
返回
//