-
-
[旧帖] [邀请已发,结帖] 第一次成功破解~老鸟请飘过~ 0.00雪花
-
发表于: 2009-6-3 08:50
-
看了看雪的《加密解密3》手头一痒~在自己电脑上乱翻 发现某网络电视未加壳~~欣喜万分那~破解之~~真真正正的新手入门 老鸟不要见笑了。
OD载入:F9启动起来,SHIF+F9(多次,不知道为什么会有这么多异常,还是不懂那,还请大大们赐教) 来到这里
003A0033 C742 14 0400000>MOV DWORD PTR DS:[EDX+14],4
003A003A E8 00000000 CALL 003A003F
003A003F 58 POP EAX
003A0040 8D48 12 LEA ECX,DWORD PTR DS:[EAX+12]
003A0043 894A 18 MOV DWORD PTR DS:[EDX+18],ECX
003A0046 B8 ACEB927C MOV EAX,ntdll.RtlRaiseException
003A004B 52 PUSH EDX
003A004C FFD0 CALL EAX
003A004E C2 0400 RETN 4
也看不出什么头绪来,那就具体使用下软件吧。软件是有个VIP专区,你点一下,会提示要求购买VIP窗口,那就下断MESSAGEBOXA
来到
77D50702 > 8BFF MOV EDI,EDI
77D50704 55 PUSH EBP
77D50705 8BEC MOV EBP,ESP
77D50707 833D BC14D777 0>CMP DWORD PTR DS:[77D714BC],0
77D5070E 74 24 JE SHORT USER32.77D50734
这里是系统函数 那就回去~记得撤销断点。
来到
03CC851D 83F8 06 CMP EAX,6
03CC8520 0F85 0B010000 JNZ POWERL~1.03CC8631
03CC8526 8D4D E8 LEA ECX,DWORD PTR SS:[EBP-18]
03CC8529 E8 8A590400 CALL <JMP.&MFC42.#540_??0CString@@QAE@XZ>
03CC852E 8D4D EC LEA ECX,DWORD PTR SS:[EBP-14]
03CC8531 C645 FC 04 MOV BYTE PTR SS:[EBP-4],4
03CC8535 E8 7E590400 CALL <JMP.&MFC42.#540_??0CString@@QAE@XZ>
找段的头 来到
03CC84AB 8D4D C4 LEA ECX,DWORD PTR SS:[EBP-3C]
03CC84AE E8 69F00100 CALL POWERL~1.03CE751C
03CC84B3 8B86 5C160000 MOV EAX,DWORD PTR DS:[ESI+165C]
03CC84B9 C645 FC 02 MOV BYTE PTR SS:[EBP-4],2
03CC84BD 83B8 2C020000 0>CMP DWORD PTR DS:[EAX+22C],4
03CC84C4 75 07 JNZ SHORT POWERL~1.03CC84CD
03CC84C6 68 F5000000 PUSH 0F5
03CC84CB /EB 05 JMP SHORT POWERL~1.03CC84D2
03CC84CD |68 F6000000 PUSH 0F6
发现没东西来调用它 那就单步走走 发现可疑的代码段了
CMP DWORD PTR DS:[EAX+22C],4
JNZ SHORT POWERL~1.03CC84CD
PUSH 0F5
JMP SHORT POWERL~1.03CC84D2
PUSH 0F6
运行到这句
CMP DWORD PTR DS:[EAX+22C],4
OD提示
DS:[015D6854]=00000004
那就去数据段看看 然后给数据段来个硬件访问断点,软件想改的时候 就会断下来 多好
从新来过 断在这里
03CC8412 23D1 AND EDX,ECX
03CC8414 3BD1 CMP EDX,ECX
03CC8416 0F84 32020000 JE POWERL~1.03CC864E
03CC841C 33FF XOR EDI,EDI
单步走走 发现
JE POWERL~1.03CC864E
这句是关键,能跳过刚刚那段,然后只直接JMP掉
大功告成~~继续努力,给自己打气~
OD载入:F9启动起来,SHIF+F9(多次,不知道为什么会有这么多异常,还是不懂那,还请大大们赐教) 来到这里
003A0033 C742 14 0400000>MOV DWORD PTR DS:[EDX+14],4
003A003A E8 00000000 CALL 003A003F
003A003F 58 POP EAX
003A0040 8D48 12 LEA ECX,DWORD PTR DS:[EAX+12]
003A0043 894A 18 MOV DWORD PTR DS:[EDX+18],ECX
003A0046 B8 ACEB927C MOV EAX,ntdll.RtlRaiseException
003A004B 52 PUSH EDX
003A004C FFD0 CALL EAX
003A004E C2 0400 RETN 4
也看不出什么头绪来,那就具体使用下软件吧。软件是有个VIP专区,你点一下,会提示要求购买VIP窗口,那就下断MESSAGEBOXA
来到
77D50702 > 8BFF MOV EDI,EDI
77D50704 55 PUSH EBP
77D50705 8BEC MOV EBP,ESP
77D50707 833D BC14D777 0>CMP DWORD PTR DS:[77D714BC],0
77D5070E 74 24 JE SHORT USER32.77D50734
这里是系统函数 那就回去~记得撤销断点。
来到
03CC851D 83F8 06 CMP EAX,6
03CC8520 0F85 0B010000 JNZ POWERL~1.03CC8631
03CC8526 8D4D E8 LEA ECX,DWORD PTR SS:[EBP-18]
03CC8529 E8 8A590400 CALL <JMP.&MFC42.#540_??0CString@@QAE@XZ>
03CC852E 8D4D EC LEA ECX,DWORD PTR SS:[EBP-14]
03CC8531 C645 FC 04 MOV BYTE PTR SS:[EBP-4],4
03CC8535 E8 7E590400 CALL <JMP.&MFC42.#540_??0CString@@QAE@XZ>
找段的头 来到
03CC84AB 8D4D C4 LEA ECX,DWORD PTR SS:[EBP-3C]
03CC84AE E8 69F00100 CALL POWERL~1.03CE751C
03CC84B3 8B86 5C160000 MOV EAX,DWORD PTR DS:[ESI+165C]
03CC84B9 C645 FC 02 MOV BYTE PTR SS:[EBP-4],2
03CC84BD 83B8 2C020000 0>CMP DWORD PTR DS:[EAX+22C],4
03CC84C4 75 07 JNZ SHORT POWERL~1.03CC84CD
03CC84C6 68 F5000000 PUSH 0F5
03CC84CB /EB 05 JMP SHORT POWERL~1.03CC84D2
03CC84CD |68 F6000000 PUSH 0F6
发现没东西来调用它 那就单步走走 发现可疑的代码段了
CMP DWORD PTR DS:[EAX+22C],4
JNZ SHORT POWERL~1.03CC84CD
PUSH 0F5
JMP SHORT POWERL~1.03CC84D2
PUSH 0F6
运行到这句
CMP DWORD PTR DS:[EAX+22C],4
OD提示
DS:[015D6854]=00000004
那就去数据段看看 然后给数据段来个硬件访问断点,软件想改的时候 就会断下来 多好
从新来过 断在这里
03CC8412 23D1 AND EDX,ECX
03CC8414 3BD1 CMP EDX,ECX
03CC8416 0F84 32020000 JE POWERL~1.03CC864E
03CC841C 33FF XOR EDI,EDI
单步走走 发现
JE POWERL~1.03CC864E
这句是关键,能跳过刚刚那段,然后只直接JMP掉
大功告成~~继续努力,给自己打气~
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
|
|
|
|
|
|
很形象啊
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
