-
-
[原创][求助]第一次实战破解
-
发表于:
2009-10-1 16:57
9148
-
说在前面
第一次发破文,学习了《看雪软件安全论坛基本规则 》
有一条:严禁散发共享软件或行业软件等编译后的注册机和破解程序 (软件安全辅助工具除外),欢迎来这交流技术。
我这个只有破文,不发附件,应该是可以发的了(如果不可以发,请版主直接给删了,谢谢!)
开始
想弄个文件夹加密的软件用用,发现了Passbox这个软件,需要注册的。才学了两天破解,正好实战一下!
安装,程序被放在了C:\windows目录下,并才在右键添加了加密的命令。
主程序有两个:Passbox(主程序), PathEXEjm(主要用于移动加密)
破解对象:Passbox 10.4
用到的工具:Peid,OD,灰色按钮克星,SoftSnoop2009V0.2
我该怎么处理他呢?
一、脱壳。
PEID查:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
先脱壳,ESP定律,下面是入口点,应该是vb的程序。
00403BC4 68 A4194200 push 004219A4
00403BC9 E8 EEFFFFFF call 00403BBC ; jmp 到 msvbvm60.ThunRTMain
00403BCE 0000 add byte ptr [eax], al
00403BD0 40 inc eax
00403BD1 0000 add byte ptr [eax], al
00403BD3 0030 add byte ptr [eax], dh
00403BD5 0000 add byte ptr [eax], al
00403BD7 0038 add byte ptr [eax], bh
00403BD9 0000 add byte ptr [eax], al
00403BDB 0000 add byte ptr [eax], al
00403BDD 0000 add byte ptr [eax], al
00403BDF 00FE add dh, bh
00490FB8 . 0FBF85 B0FDFF>movsx eax, word ptr [ebp-250]
00490FBF . 85C0 test eax, eax
00490FC1 0F84 5F010000 je 00491126 ; 这里跳了应该就没事了
00490FC7 . C745 FC 10000>mov dword ptr [ebp-4], 10
00490FCE . C785 04FFFFFF>mov dword ptr [ebp-FC], 80020004
00490FD8 . C785 FCFEFFFF>mov dword ptr [ebp-104], 0A
…………
0049107E . 50 push eax
0049107F . 6A 04 push 4
00491081 . 8D8D 2CFFFFFF lea ecx, dword ptr [ebp-D4]
00491087 . 51 push ecx ; 下面这个是提示被木马感染的地方
00491088 . FF15 9C104000 call dword ptr [<&msvbvm60.rtcMsgBox>] ; msvbvm60.rtcMsgBox
0049108E . 33D2 xor edx, edx ; F12,回到用户代码就来到这里了
0012F4B0 734738CC /CALL 到 EnableWindow 来自 msvbvm60.734738C6
0012F4B4 000309D2 |hWnd = 000309D2
(class='ThunderRT6UserControlDC',parent=000609D0)
0012F4B8 FFFFFFFF \Enable = TRUE
0012E19C 734738CC /CALL 到 EnableWindow 来自 msvbvm60.734738C6
0012E1A0 000209B8 |hWnd = 000209B8
(class='ThunderRT6UserControlDC',parent=000309B6)
0012E1A4 00000000 \Enable = FALSE
004B143A |. /EB 06 jmp short 004B1442
004B143C |> |8B3D 80104000 mov edi, dword ptr [<&msvbvm60.__vbaHresultCheckObj>]
; msvbvm60.__vbaHresultCheckObj
004B1442 |> \8B4D 0C mov ecx, dword ptr [ebp+C]
004B1445 |. 66:3B4D D8 cmp cx, word ptr [ebp-28]
004B1449 |. 74 7E je short 004B14C9
; 看来这里跳走了就没事了
004B144B |. 8B46 10 mov eax, dword ptr [esi+10]
004B144E |. 51 push ecx
; 这里ecx是Enable或Disable的参数
004B144F |. 50 push eax
004B1450 |. 8B10 mov edx, dword ptr [eax]
004B1452 |. FF92 94000000 call dword ptr [edx+94]
; 这里进去就改了控件的属性了
004B1458 |. 3BC3 cmp eax, ebx
; EnalbeWindow断下,执行到用户代码停在这里
004B145A |. DBE2 fclex
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
