【文章標(biāo)題】:去多重校驗(yàn)破解程序
【文章作者】:[B.H.S.T]頹廢の傻魚
【作者郵箱】:7484345@qq.com
【作者主頁】:http://hi.baidu.com/頹廢傻魚
【作者QQ號(hào)】:7484345
【軟件名稱】:實(shí)創(chuàng)進(jìn)銷存管理軟件
【軟件大小】:2.32 M
【下載地址】:http://www.skycn.com/soft/46124.html
【加殼方式】:ASPack 2.12
【保護(hù)方式】:多重自校驗(yàn)+重啟驗(yàn)證+注冊(cè)保護(hù)
【編寫語言】:Borland Delphi 6.0 - 7.0
【使用工具】:OD,PEID
【操作平臺(tái)】:Windows XP
【作者聲明】:破解純屬興趣,沒有其他用意,請(qǐng)大家尊重作者的勞動(dòng)成果!偶也只是一個(gè)小菜寫的不好還請(qǐng)大家多多指教^_^
-----------------------------------------------------------------------------------------------------------
中國黑帽安全小組：www.bhst.org 論壇只是為了幾個(gè)愛好相同的朋友一起靜下心來一起研討技術(shù)!無名無利!

互助共進(jìn) 追求技術(shù) 齊心協(xié)力 自由飛翔 有喜歡編程的 破解的 入侵的朋友都可以來我們論壇和我們一起交流

【詳細(xì)過程】

很久沒有制作教程了 昨晚破了一個(gè)軟件 覺得挺有意思 所以作個(gè)教程和大家一起分享一下心得

先來看看軟件吧 查殼我就不查了 是個(gè)壓縮殼 菜鳥都可以搞定的ASPack壓縮殼 我就直接OD脫了它

脫殼部分沒什么大問題 我就不詳細(xì)說明了 看操作就OK了 機(jī)器有點(diǎn)卡哦 大家快進(jìn)看吧

脫完殼后的文件體積比原來的要大得很多 我們來比較下6626304 原程序的也看一下1816064

這樣就可以觸發(fā)程序本身的自校驗(yàn)了 不要直接去運(yùn)行 因?yàn)槲颐摎ず笾苯舆\(yùn)行給關(guān)機(jī)了 呵呵

不相信的朋友可以自己嘗試一下 下面開始進(jìn)入今天的正題 去除多重自校驗(yàn) 破解分去校驗(yàn)和破解兩部分

去自校驗(yàn)部分：

退出進(jìn)程：bp ExitProcess

退出系統(tǒng)：bp ExitWindowsEx

這兩個(gè)斷點(diǎn)大家都不會(huì)陌生 斷點(diǎn)的作用我也寫出來了 下面OD載入脫殼的程序找校驗(yàn)的地方 請(qǐng)稍候 在分析

還是很慢哦 大家快進(jìn)吧 機(jī)器太古董了 沒有辦法.. - - 好了 下面就先找關(guān)機(jī)的校驗(yàn)吧 因?yàn)椴话堰@個(gè)去掉

沒辦法調(diào)試程序 已經(jīng)斷下來了 此時(shí)不能Alt+F9返回 這個(gè)是菜鳥經(jīng)常犯的小錯(cuò)誤 因?yàn)榉祷氐脑?就直接關(guān)機(jī)了

在堆棧里面跟隨到反匯編窗口 代碼大家在自己看了 關(guān)機(jī)的校驗(yàn)有三處 簡(jiǎn)單的分析一下就知道了 三個(gè)關(guān)機(jī)的

校驗(yàn)都是由上面的je判斷的 我們直接把je都NOP掉就可以了 運(yùn)行了之后 發(fā)現(xiàn)還是沒辦法運(yùn)行 我們這樣看看

這速度太快了 沒法看到進(jìn)程退出的 下面繼續(xù)去除退出進(jìn)程的校驗(yàn) 用到的斷點(diǎn)是這個(gè)bp ExitProcess

我們就不下斷了 直接OD載入程序之后單步走下去看看 走到了這里這個(gè)JE是否退出進(jìn)程 我們繼續(xù)走幾步

看到這個(gè)奇怪的東東6626304 想想程序開始就驗(yàn)證這什么東西的？ 回頭看看我剛才記錄的6626304 一樣的對(duì)吧

如果你很聰明 你就知道這里比較什么了 這里比較了文件的大小了 這里的jle是小于等于就跳 這里顯然我們的

脫殼文件要比原文件大的多 在這里我沒有詳細(xì)去分析了 那個(gè)CALL里面就是比較文件的大小 大家可以自己跟進(jìn)去看看

00831DB6 |. E8 7183BDFF call unpack.0040A12C
00831DBB |. 3D 00003000 cmp eax,300000

退出系統(tǒng)校驗(yàn)代碼如下：

0070FF16 |. /74 08 je short unpack.0070FF20
0070FF18 |. |4E dec esi
0070FF19 |. |74 16 je short unpack.0070FF31
0070FF1B |. |4E dec esi
0070FF1C |. |74 24 je short unpack.0070FF42
0070FF1E |. |EB 31 jmp short unpack.0070FF51
0070FF20 |> 6A 00 push 0 ; /Reserved = 0; Case 1 of switch 0070FF15
0070FF22 |. 6A 06 push 6 ; |Options = EWX_REBOOT|EWX_FORCE
0070FF24 |. E8 BB80CFFF call <jmp.&user32.ExitWindowsEx> ; ExitWindowsEx 1處
0070FF29 |. 83F8 01 cmp eax,1
0070FF2C |. 1BDB sbb ebx,ebx
0070FF2E |. 43 inc ebx
0070FF2F |. EB 20 jmp short unpack.0070FF51
0070FF31 |> 6A 00 push 0 ; /Reserved = 0; Case 2 of switch 0070FF15
0070FF33 |. 6A 0C push 0C ; |Options = EWX_FORCE|EWX_POWEROFF
0070FF35 |. E8 AA80CFFF call <jmp.&user32.ExitWindowsEx> ; ExitWindowsEx 2處
0070FF3A |. 83F8 01 cmp eax,1
0070FF3D |. 1BDB sbb ebx,ebx
0070FF3F |. 43 inc ebx
0070FF40 |. EB 0F jmp short unpack.0070FF51
0070FF42 |> 6A 00 push 0 ; /Reserved = 0; Case 3 of switch 0070FF15
0070FF44 |. 6A 04 push 4 ; |Options = EWX_FORCE
0070FF46 |. E8 9980CFFF call <jmp.&user32.ExitWindowsEx> ; ExitWindowsEx 3處

=================================================================================================================

我們找到了退出進(jìn)程的校驗(yàn)了 看看一下代碼 估計(jì)有朋友看到 這個(gè)JNZ很高興了 說直接修改成JMP就可以跳過退出進(jìn)程了

好吧 就依照常規(guī)的方法看看如何 運(yùn)行下看看吧 看到?jīng)]有出錯(cuò)了 我把OD載入的進(jìn)程關(guān)一下 大家那樣可以看得清楚一點(diǎn)

看看 還是出錯(cuò)了 為什么呢？有興趣的朋友可以自己嘗試用bp ExitProcess這個(gè)斷點(diǎn)去弄這個(gè)程序 今天我講的另一種方法

校驗(yàn)已經(jīng)完全去除了 下面進(jìn)入破解的部分

退出進(jìn)程校驗(yàn)代碼如下：

00404676 |. /75 17 |jnz short unpack.0040468F
00404678 |. |833D 28708500>|cmp dword ptr ds:[857028],0
0040467F |. |74 06 |je short unpack.00404687
00404681 |. |FF15 28708500 |call dword ptr ds:[857028]
00404687 |> |8B06 |mov eax,dword ptr ds:[esi]
00404689 |. |50 |push eax ; /ExitCode
0040468A |. |E8 F5CEFFFF |call <jmp.&kernel32.ExitProcess> ; ExitProcess
0040468F |> 8B03 |mov eax,dword ptr ds:[ebx]
========================================================================================================

破解部分：

這個(gè)軟件的注冊(cè)機(jī)制我也沒有具體去看 不過通過找字符串的方法可以搞定它 又是很慢的事來了 大家繼續(xù)快進(jìn)吧 - -

要快進(jìn)還不爽的話 就喝點(diǎn)茶在來 先看看一下我爆破過的效果吧 都可以使用了 功能也沒有限制的 查找完了 我們找有用信息

很是郁悶的吧 我機(jī)器太卡 所以沒有直接用搜索的 你們可以在自己用搜索很快就可以找到了 運(yùn)行程序 在這里比較了

我們直接修改跳過吧 要走下去 那么是試用期的判斷了 改完一個(gè) 繼續(xù)往下看 還有一個(gè)判斷 大致看了下 這里應(yīng)該也和上面

都是比較試用天數(shù)的 軟件的試用天數(shù)是30 轉(zhuǎn)16進(jìn)制也就是1E 在這里的EAX=1意思就是試用一天了 OK了 繼續(xù)運(yùn)行

這里就很簡(jiǎn)單了 直接跳過就可以了 不用多解釋了 看看下是否破解成功了 為了能讓程序同時(shí)運(yùn)行多個(gè) 我們?cè)谛薷囊粋€(gè)地方

00831D4F /75 2D jnz short Crack.00831D7E
00831D51 |6A 00 push 0
00831D53 |8B15 48628500 mov edx,dword ptr ds:[856248] ; Crack.00853D7C
00831D59 |8B12 mov edx,dword ptr ds:[edx]
00831D5B |8D45 EC lea eax,dword ptr ss:[ebp-14]
00831D5E |B9 741E8300 mov ecx,Crack.00831E74
00831D63 |E8 182DBDFF call Crack.00404A80
00831D68 |8B45 EC mov eax,dword ptr ss:[ebp-14]
00831D6B |66:8B0D 841E830>mov cx,word ptr ds:[831E84]
00831D72 |B2 02 mov dl,2
00831D74 |E8 E3EFC0FF call Crack.00440D5C
00831D79 |E9 BB000000 jmp Crack.00831E39
00831D7E 8B03 mov eax,dword ptr ds:[ebx]

代碼你們?cè)谧约喝タ戳?這里走下去的話就提示剛才的對(duì)話框 我們直接跳過吧 好了 破解到此就結(jié)束了 下面總結(jié)一下

-----------------------------------------------------------------------------------------------------------
【經(jīng)驗(yàn)總結(jié)】

一般的校驗(yàn)可以通過下相應(yīng)斷點(diǎn)去調(diào)試找出校驗(yàn)處并去除校驗(yàn)(這是比較通用的方法) 這種是通過下常用的去校驗(yàn)斷點(diǎn)

然后去調(diào)試程序 找到校驗(yàn)比較的地方 然后在修改就可以了 像這個(gè)程序關(guān)機(jī)校驗(yàn)很簡(jiǎn)單就可以找到 但是退出進(jìn)程校驗(yàn)

還是很麻煩了 大家可以自己去練習(xí)一下 所以我使用了另一種方法去除退出進(jìn)程的校驗(yàn)

若是有時(shí)候校驗(yàn)處校驗(yàn)的方式太麻煩了 這時(shí)候可以選擇程序開始的地方去調(diào)試找校驗(yàn)(這個(gè)方法有時(shí)候也不太適用)

具體的還是要大家熟悉去校驗(yàn)的一些方法 靈活的應(yīng)用在一起 才可以更好的去破解程序 好了 不想多說廢話 教程結(jié)束

-----------------------------------------------------------------------------------------------------------
【版權(quán)聲明】:本文原創(chuàng)于頹廢の傻魚S Blog(http://hi.baidu.com/頹廢傻魚),轉(zhuǎn)載請(qǐng)注明作者并保持文章的完整,謝謝!
2008年12月11日11時(shí)2分57秒