【文章标题】: ACProtect V2.0.X脱壳手记
【软件名称】: XorIt.protected.exe
【加壳方式】: ACProtect V2.0.X
【编写语言】: VC
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
——————————————————————————–
【详细过程】
用PEID查壳显示为:ACProtect V2.0.X -> RiSco * Sign.By.fly * 继续阅读“ACProtect V2.0.X脱壳手记(早期的)”
Morphine.Shell.V1.5l脱壳的详细分析
【文章标题】: Morphine.Shell.V1.5l脱壳的详细分析
【作者主页】: www.iawen.com
【软件名称】: CrackMe
【下载地址】: 见附件
【加壳方式】: Morphine
【使用工具】: OD,PETools,ImportREC
【操作平台】: XP SP3
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
——————————————————————————–
【详细过程】
这个壳是今天从UnPackCn站点上Download下来,自己加了一个试试,呵呵!
有一个很好脱壳脚本,是朋友写的(偶不会,^&^),不过,我还是想自己动手玩一下,于是就有了这篇文章,希望大家不要见笑! 继续阅读“Morphine.Shell.V1.5l脱壳的详细分析”
PEBundle3.2的高级捆缚分析
【文章标题】: PEBundle3.2的高级捆缚分析
【文章作者】: iawen
【软件名称】: EdrTest.exe
【下载地址】: 见附件
【使用工具】: OD、LoadPE、ImportRec
【操作平台】: Xp Sp3
【软件介绍】: 一个UnpackMe,呵呵
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
——————————————————————————–
【详细过程】
先用PEid查一下壳,显示为:PEBundle 2.0b5 – 3.0x -> Jeremy Collake
因为朋友自己加的,所以知道是PEBundle 3.2版的,呵呵! 继续阅读“PEBundle3.2的高级捆缚分析”
一个CM的脱壳与爆破
【作者主页】: www.iawen.com
【作者QQ号】: =======**======
【软件名称】: Crackme.exe
【下载地址】: 见附件
【使用工具】: OD,PETool,ImportREC
【操作平台】: XP SP3
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
——————————————————————————–
【详细过程】
一个简单的压缩壳,用PEID查看显示为:Morphine 1.4 – 2.7 -> Holy_Father & Ratter/29A
我没见过,直接用OD载入得啦: 继续阅读“一个CM的脱壳与爆破”
IMToo系列软件的算法分析
【文章标题】: IMToo系列软件的算法分析
【软件名称】: IMToo系列软件
【详细过程】
同样是一个通过专用DLL来验证程序,通过在DLL里查看导出函数,很快就能找到:
UILib8_M.ImRegUserInfo::IsValidRegInfo_private
双击来到段着下断: 继续阅读“IMToo系列软件的算法分析”
OJOsoft系列软件的注册算法分析
软件是VC写的,用PEID显示为:Microsoft Visual C++ 7.0 Method2 [调试]
二话不说,直接到OD载入,然后输入假的激活码,很快就能找到关键点:
00401D6D . C74424 1C 00000>mov dword ptr ss:[esp+1C],0
00401D75 . E8 96E80100 call <jmp.&MFC71.#3761>
00401D7A . 51 push ecx
00401D7B . 8D5424 08 lea edx,dword ptr ss:[esp+8]
00401D7F . 8BCC mov ecx,esp
00401D81 . 896424 10 mov dword ptr ss:[esp+10],esp
00401D85 . 52 push edx
00401D86 . FF15 E4514200 call dword ptr ds:[<&MFC71.#297>] ; MFC71.7C14E575
00401D8C . 8B8E C8000000 mov ecx,dword ptr ds:[esi+C8]
00401D92 . FF15 30504200 call dword ptr ds:[<&Control.AVProxy::Reg>; Control.AVProxy::RegisteProduct
一国产加锁王的算法分析
程序加了强壳,用PEID查壳显示为:ASProtect 2.0x Registered -> Alexey Solodovnikov
再用VerA插件赤查找一下,则显示为:Version: ASProtect 1.32 build 10.20 Beta
怀疑是ASPR的高版本,毕竟VerA已经N久没更新了,呵呵!不过,用VolX大侠的脚本,低版本的也许要手脱,高版的却是一健搞定,呵呵!
用脚本脱过后,OD载入!在输入假码后,通过堆栈调用,很快就找到注册验证的关键点: 继续阅读“一国产加锁王的算法分析”
Speed Video Splitter 4.32 的注册算法分析
程序没有加壳,直接用OD载入!
输入假码有提示,可能通过查找参考字符或者难过堆栈返回找到关键CALL:
00404917 . 8>lea edi,dword ptr ds:[esi+64]
0040491A . 5>push eax
0040491B . 5>push ecx
0040491C . E>call Speed_Vi.0040E320
00404921 . 8>add esp,8
00404924 . 8>test al,al
00404926 . 7>jnz short Speed_Vi.00404944
00404928 . 6>push 40
0040492A . 6>push Speed_Vi.004233A4 ; ASCII "Sorry"
0040492F . 6>push Speed_Vi.00423378 ; ASCII "Invalid username or registration code "
00404934 . 8>mov ecx,esi
00404936 . E>call <jmp.&MFC42.#4224>
0040493B . C>mov byte ptr ds:[42484C],0
00404942 . E>jmp short Speed_Vi.0040499B
00404944 > 5>push edi
00404945 . 8>lea eax,dword ptr ss:[esp+C]
00404949 . 6>push Speed_Vi.0042336C ; ASCII "License to "
一个电子相册制作软件的算法分析
按正常流程来,先用Peid查壳,显示为:ASPack 2.12 -> Alexey Solodovnikov
算了,不脱了,直接查找一下特征:
push 0
retn
快速来到程序的OEP,然后F9运行起来!
通过F12堆栈暂停的方法,很快找到程序注册的关键点: 继续阅读“一个电子相册制作软件的算法分析”
一个国产文件夹锁的注册算法简单分析
主程序加了简单的壳:
ASPack 2.12 -> Alexey Solodovnikov
没想脱,直接搜索:
push 0
retn
然后在retn上下断,F9运行,然后再单步就到了程序的OEP了,呵呵 继续阅读“一个国产文件夹锁的注册算法简单分析”