慣例的PEiD查下殼,VC6 無殼 成功的第一步
首先用OD打開F9執行,我X~程式雖然執行了,但OD卻關閉了
從這裡可以知道,載入的只是個Load,而不是真正執行的本體
Ctrl+F2 重新載入, 下 CreateFileA 斷點試試
順利斷下,抓到某個可疑的檔案
照這目錄手動把檔案抓出來,檔名是tempk.txt
但是! 手動把tempk.txt 副檔名 改成 .exe 就會神奇的發現這是個執行檔
而且跟Load程式圖標完全一樣,很開心的打開他.....
!?....沒動靜.....再點.....X第二次
看來有某種效驗的樣子,直接就退出了
再重新載入Load,這次用插件搜索字符串
找完後 Ctrl+F 找 tempk 這個可疑的名稱
應該會出現跟我圖片一樣的地方,雙擊點進去
現在F8一路往下跟
中途可以跟到一些有趣的東西,像是呼叫DeleteFileA 刪除檔案,
判斷只能有同一行程存在,否則自行結束等等....但現在我直接講關鍵點
F8到下方的地方,看到Winexec這個函數,第2個Push參數,最後面有個tempk.txt cs
這個cs就是重點了,要有這個cs當啟動參數,這個程式才能執行
OK,接下來重新載入tempk.txt 填入啟動參數cs
F9執行~登登 果然成功執行了
但這樣挺麻煩的,所以還是要找關鍵點改掉他才方便
先去掉啟動參數 故意讓他結束程式
下ExitProcess斷點 ,再使用堆疊回朔向上找
最後有個關鍵位置
把je 改 jmp 就可以不讓程式中斷了~打了一堆 終於要進入Crack的部分了
點開註冊按鈕,出現這個視窗,點"註冊" 亂輸入註冊碼後,會發現程式又直接結束了
看起來似乎是重啟驗證型的
重新載入後這裡直接斷bpx RegOpenKeyExA
一個Retn 10返回後,會看到一些關鍵的東西~
這裡在讀取註冊表,繼續F8往下會發現一個關鍵地方
這裡就是關鍵點了,406711的跳轉如果跳了,就註冊失敗
可能一些朋友看到這就忍不住想把jnz Nop掉吧~
但這樣改後,雖然看起來像破解成功了,但是對exe加網站後,註冊提示馬上又跑出來了
其實關鍵在[ebp+60]這裡,這個記憶體位置會多次效驗是不是1
所以只要把 cmp byte ptr ss:[ebp+60],1 改成
mov byte ptr ss:[ebp+60],1
這樣就可以完全破解了
其實如果丟到虛擬機的話,還有個效驗,不過也是斷MessageBoxA就可以清除了
至於中文化甚麼的就非常簡單了~就不贅述了
PS:從這程式裡學到了,躲貓貓式的隱藏檔案
啟動參數的效驗 & 全域變量的修改
還有個虛擬機的檢測
雖然是個小東西,但還是挺有意思的。
想要玩玩這個軟體的可以到這裡抓:
http://cn.ziddu.com/download/613392/InsertWeb.rar.html
By Kost0911 2011.8.15
留言列表