[color=]Exeinfo PE
查一下壳,如下图
1.png (174.45 KB, 下载次数: 0)
下载附件
2021-1-30 00:13 上传
很明显,软件使用的是ASprotect的壳,这壳我没找到什么好的方法脱掉,直接带壳破解
2.png (369.12 KB, 下载次数: 0)
下载附件
2021-1-30 01:46 上传
拖入OD后发现是这个样子,跟以前看到的无壳程序不一样,不要慌,先点击左边圆圈里的按钮,再点击蓝色圆圈里的按钮,会进入如下图所示的窗口
3.png (266.12 KB, 下载次数: 0)
下载附件
2021-1-30 01:45 上传
这时候再点击箭头指的地方,按下回车键,发现来到了这里
4.png (386.57 KB, 下载次数: 0)
下载附件
2021-1-30 01:44 上传
这时候就可以用下断点了,如下图所示
6.png (403.29 KB, 下载次数: 0)
下载附件
2021-1-30 01:44 上传
点击"插件-箭头所在的地方”,出现如下窗口
7.png (145.76 KB, 下载次数: 0)
下载附件
2021-1-30 01:44 上传
勾选MessageBoxExA,点击确认,回到程序窗口,点击注册,随便输入一个数,点注册后会发现OD已经成功断下(记得要取消对话框MessageBoxExA断点)
8.png (391.26 KB, 下载次数: 0)
下载附件
2021-1-30 01:44 上传
来到“
[color=]堆栈区”(箭头所指的地方),往上翻,你会发现到一个“返回到”,选中它,按下回车键
9.png (370.59 KB, 下载次数: 0)
下载附件
2021-1-30 02:04 上传
往上翻,会发现je,但那个并不是我们要找到(你可以下断试试),继续往上翻
10.png (398.79 KB, 下载次数: 1)
下载附件
2021-1-30 02:05 上传
来到这里,看见了字符串,但并没有发现跳转,继续往上翻
Snipaste_2021-01-30_00-56-26.png (391.66 KB, 下载次数: 0)
下载附件
2021-1-30 02:05 上传
来到这里,看到了字符串,但只看见一处大跳转,还是往上跳,故这里不是,继续往上翻
Snipaste_2021-01-30_00-56-57.png (390.96 KB, 下载次数: 0)
下载附件
2021-1-30 02:05 上传
来到这里,但这里有很多跳转,所以我们往上翻到子程序开头,下断点
11.png (397.83 KB, 下载次数: 0)
下载附件
2021-1-30 01:44 上传
12.png (400.63 KB, 下载次数: 0)
下载附件
2021-1-30 01:44 上传
就像这样,点击运行后
[color=](先要把调试程序的对话框点掉,然后点击注册)
[color=]然后F8单步分析
13.png (374.66 KB, 下载次数: 0)
下载附件
2021-1-30 01:44 上传
运行到这里,可以看到jnz变红了,按回车键看看下面是什么
14.png (279.67 KB, 下载次数: 0)
下载附件
2021-1-30 02:09 上传
直接跳到了注册失败,不行,不能让它这样,把它nop掉
15.png (390.58 KB, 下载次数: 0)
下载附件
2021-1-30 01:44 上传
16.png (348.41 KB, 下载次数: 0)
下载附件
2021-1-30 01:44 上传
(选择“用nop填充")
我们继续F8,来到这个call,按一下F7进去看看(如果不进去程序跑飞)
17.png (349.65 KB, 下载次数: 0)
下载附件
2021-1-30 01:45 上传
可以看到,这里如果就是关键段了,把它改成这样
18.png (369.66 KB, 下载次数: 0)
下载附件
2021-1-30 01:45 上传
19.png (372.16 KB, 下载次数: 0)
下载附件
2021-1-30 01:45 上传
F9运行后就注册成功了
21.png (388.8 KB, 下载次数: 0)
下载附件
2021-1-30 01:45 上传
因为这个程序加了壳,所以我们要用打补丁的方法,就像这样
20.png (104.9 KB, 下载次数: 0)
下载附件
2021-1-30 01:45 上传
至此,破解成功
[color=]后续:
再次打开这个软件的时候,会发现这个软件还是显示着已注册,说明它肯定会查找注册文件,我们来试试能不能找到注册文件
打开“火绒剑”,点击“过滤",按照如下图所示进行设置
a.png (92.02 KB, 下载次数: 0)
下载附件
2021-1-30 10:10 上传
点击”开启监控”后打开软件,捕捉到这么多动作
b.png (1011.91 KB, 下载次数: 0)
下载附件
2021-1-30 10:10 上传
搜索"regflag",会找到一个动作,选中它,右键路径,选择“跳转到”
c.png (1.03 MB, 下载次数: 0)
下载附件
2021-1-30 10:10 上传
点击这里,定位到注册表
d.png (287.99 KB, 下载次数: 0)
下载附件
2021-1-30 10:10 上传
再右键它,选择导出
e.png (59.9 KB, 下载次数: 0)
下载附件
2021-1-30 10:10 上传
试试导出注册表文件能不能使其他电脑上的这个软件注册,结果可以,功能能正常使用
完
