初学半个月,为了验证一下所学,特发此暴破过程,因是首次暴破,技术尚欠。
软件下载地址:
http://www.skycn.com/soft/55378.html
本人所用系统为2003,如果朋友们照此方法暴破,某些值可能不一样。
暴破过程:
1.安装软件,PEID查壳,壳是ASProtect 1.2x - 1.3x [Registered]的,好,先运行一下软件看看:出现第一个对话框,提示下一步或试用或退出。点下一步看一下,需要注册码,回头,点试用,根据提示进去看看,发现试用版有显目的试用版文字标志,试用版的某些功能无法使用。
2.脱壳,因为这个壳脱的过程有点烦琐,我就不写了,此壳的脱法见三人行老师的教程。我直接用脚本来脱了,此脚本看雪工具有下载。(程序的入口地址为:0069A7FC > 55 push ebp)
3.OD载入脱完壳的程序,其实这个程序在入口处不远就有个CALL调用了试用/下一步/退出的对话框,刚开始我用暂停再调用堆栈来寻找这个CALL,虽然找到了,但是暴破不行(试了多处修改代码还不行,或许是水平有限),重新载入,F8单步走,走到
0069A870 /75 33
jnz short dump_.0069A8A5
0069A872 |33C0 xor eax,eax
0069A874 |E8 7386FCFF
call dump_.00662EEC ; //这个CALL调用了对话框
0069A879 |48 dec eax
0069A87A |74 29 je short dump_.0069A8A5
0069A87C |6A 40 push 40
0069A87E |B9 7CA96900 mov ecx,dump_.0069A97C
0069A883 |BA 84A96900 mov edx,dump_.0069A984
0069A888 |8B03 mov eax,dword ptr ds:[ebx]
0069A88A |E8 3DA4DFFF call dump_.00494CCC
0069A88F |6A 00 push 0
0069A891 |6A 00 push 0
0069A893 |6A 10 push 10
0069A895 |8B03 mov eax,dword ptr ds:[ebx]
0069A897 |8B40 30 mov eax,dword ptr ds:[eax+30]
0069A89A |50 push eax
0069A89B |E8 74D9D6FF call <jmp.&user32.SendMessageA>
0069A8A0 |E9 AF000000 jmp dump_.0069A954
0069A8A5 \8B03 mov eax,dword ptr ds:[ebx]
我们看到,这个CALL上方有个跳没有跳转,我们试试把这个跳改成JMP,保存,运行一下发现,对话框没有了,直接跳出试用登录框,OK,我们OD载入这个修改后的PE文件。
4.因为刚开始我们进入试用版时发现有显目的试用版文字样,那么我们是不是可以从这里入手?
用OD查下ASCII码,发现没有中文字符,我们请上W32Dasm,用它来找“注册版”字符串。
5.打开W32Dasm,载入修改后的PE文件,菜单:参考-串式数据参考,翻至最后,找到“注册版”字样,双击,会在地址处高亮显示此代码,复制这个地址(00665BD9)。
6.来到OD,CTRL+G,粘贴上面的地址(00665BD9),来到此处:
00665BD7 /74 77 je short 22222.00665C50 //此行下硬件断点,重新载入程序,F9运行,出现登录框,输入admin后确定,程序在此处断下
00665BD9 |BA 9C5C6600 mov edx,22222.00665C9C
00665BDE |8B83 AC030000 mov eax,dword ptr ds:[ebx+3AC]
00665BE4 |E8 17CDE0FF call 22222.00472900
我们再来分析一下,出现注册版字串上面的一个跳转跳了,就是说程序跳过了注册版,势必会转向试用版,那么将
00665BD7 /74 77 je short 22222.00665C50
此处的跳修改成不跳呢?我们来试一下,je改成jne,保存。
7.运行二次修改后的PE文件,输入试用密码,进入程序,试用版字样已变成注册版,再检查一下功能,发现所有功能全部开放,至此,暴破成功。
因本人学习CRACK不久,水平实在有限,描述或者过程尚有不到之处,请勿见怪。此贴是为邀请码而发,请版主考虑一下,谢谢。
给个小奖励也行,呵呵。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!