标题:
3ast破解教程--2
[打印本页]
作者:
chowfaye
时间:
2008-9-29 10:05
标题:
3ast破解教程--2
自己做得语音教程,不是太好,还请见谅了。
以下是密码:
www.3ast.com.cn
希望大家多支持下我们的站。
★★★★★★★★★★★★★★★★
破 解 系 列
3AST
WWW.3AST.COM.CN
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
【文章标题】: 简单爆破与文件补丁
【文章作者】: DoubleW
【使用工具】: PEID,OD,Keymaker
【软件信息】: 大小:33,818 字节 MD5:28808f0caf2b18dfe9f0f86d19df4f77
【下载地址】: 已打包。
【加壳方式】: PEDiminisher 0.1 -> Teraphy
【保护方式】: 用户名+序列号
【编写语言】: Microsoft Visual C++ 6.0
【操作平台】: WinXP SP3
【录制环境】:1280*800
【作者声明】: 仅供技术交流,请勿用于非法目的!
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
【详细过程】
今天主要目标是一个CrackMe,是用户名+注册码的验证方式,我们的目的就是通过修改软件的代码,以达到破解的目的。
然后是通过Keymaker来制作文件的破解补丁。
首先看下我们的目标,很简单的一个CrackMe,下面我们正式开始,首先查壳。
PEDiminisher 0.1 -> Teraphy
是一款很好脱的壳,我们手动脱壳,用ESP定律足以搞定。
OD载入后停在如下位置:
0040D000 > 53 push ebx ; (初始 cpu 选择)
0040D001 51 push ecx ; 这个位置,看左边的寄存器窗口
0040D002 52 push edx ; ntdll.KiFastSystemCallRet
0040D003 56 push esi
0040D004 57 push edi ; ntdll.7C930208
0040D005 55 push ebp
0040D006 E8 00000000 call PEDimini.0040D00B
0040D00B 5D pop ebp ; 7FFD8000
0040D00C 8BD5 mov edx, ebp
0040D00E 81ED A2304000 sub ebp, PEDimini.004030A2
0040D014 2B95 91334000 sub edx, ss:[ebp+403391]
0040D01A 81EA 0B000000 sub edx, 0B
0040D020 8995 9A334000 mov ss:[ebp+40339A], edx ; ntdll.KiFastSystemCallRet
以下是寄存器窗口:
EAX 00000000
ECX 0013FFB0
EDX 7C92E4F4 ntdll.KiFastSystemCallRet
EBX 7FFD8000
ESP 0013FFC0 ;这里已经变红了,
EBP 0013FFF0
ESI FFFFFFFF
EDI 7C930208 ntdll.7C930208
EIP 0040D001 PEDimini.0040D001
C 1 ES 0023 32位 0(FFFFFFFF)
P 0 CS 001B 32位 0(FFFFFFFF)
A 0 SS 0023 32位 0(FFFFFFFF)
Z 0 DS 0023 32位 0(FFFFFFFF)
S 1 FS 003B 32位 7FFDF000(FFF)
T 0 GS 0000 NULL
命令窗口下命令:
hr 0013FFC0
然后我们回车。
紧接着F9运行,停在以下位置:
0040D093 - FFE0 jmp near eax ; PEDimini.00403922 //停在这里。
0040D095 8B95 9A334000 mov edx, ss:[ebp+40339A]
0040D09B 8BB5 F6334000 mov esi, ss:[ebp+4033F6]
0040D0A1 33FF xor edi, edi ; ntdll.7C930208
0040D0A3 03F2 add esi, edx ; ntdll.KiFastSystemCallRet
0040D0A5 03FA add edi, edx ; ntdll.KiFastSystemCallRet
0040D0A7 8B46 0C mov eax, ds:[esi+C]
0040D0AA 85C0 test eax, eax ; PEDimini.00403922
0040D0AC 74 7F je short PEDimini.0040D12D
0040D0AE 03C2 add eax, edx ; ntdll.KiFastSystemCallRet
0040D0B0 8BD8 mov ebx, eax ; PEDimini.00403922
0040D0B2 50 push eax ; PEDimini.00403922
其实以上的 jmp near eax 就是要跳到OEP了,我们在一次 F8 就可以到达OEP了。
00403922 55 push ebp ; 这里就是OEP了。
00403923 8BEC mov ebp, esp
00403925 6A FF push -1
00403927 68 38814000 push PEDimini.00408138
0040392C 68 845C4000 push PEDimini.00405C84
00403931 64:A1 00000000 mov eax, fs:[0]
00403937 50 push eax ; PEDimini.00403922
00403938 64:8925 0000000>mov fs:[0], esp
0040393F 83EC 58 sub esp, 58
00403942 53 push ebx
00403943 56 push esi
00403944 57 push edi ; ntdll.7C930208
00403945 8965 E8 mov ss:[ebp-18], esp
00403948 FF15 34804000 call near ds:[408034] ; kernel32.GetVersion
脱壳,
这次用loadPE转储,但是无法运行,提示错误,我们用ImportREC修复。
好了,可以运行了。
查壳,Microsoft Visual C++ 6.0。
脱完壳之后,我们来爆破。
首先还是找软件的错误提示
“注册码错误,继续加油。”
OD载入,查找字符串。双击来到以下位置:
00402E80 . 68 00010000 push 100 ; /Count = 100 (256.)
00402E85 . 51 push ecx ; |Buffer = 0013FFB0
00402E86 . 68 E8030000 push 3E8 ; |ControlID = 3E8 (1000.)
00402E8B . 56 push esi ; |hWnd = FFFFFFFF
00402E8C . FFD3 call near ebx ; \GetDlgItemTextA
00402E8E . 8DBD F0FEFFFF lea edi, ss:[ebp-110]
00402E94 . 83C9 FF or ecx, FFFFFFFF
00402E97 . 33C0 xor eax, eax
00402E99 . F2:AE repne scas byte ptr es:[edi]
00402E9B . F7D1 not ecx
00402E9D . 49 dec ecx
00402E9E . 83F9 01 cmp ecx, 1
00402EA1 . 73 26 jnb short dumped_.00402EC9
00402EA3 . 6A 40 push 40 ; /Style = MB_OK|MB_ICONASTERISK|MB_APPLMODAL
00402EA5 . 68 D4904000 push dumped_.004090D4 ; |注册提示
00402EAA . 68 BC904000 push dumped_.004090BC ; |用户名不能为空请输入!
00402EAF . 56 push esi ; |hOwner = FFFFFFFF
00402EB0 . FF15 B4804000 call near ds:[<&user32.MessageBoxA>] ; \MessageBoxA
00402EB6 . 33C0 xor eax, eax
00402EB8 . 8B4D F4 mov ecx, ss:[ebp-C] ; kernel32.7C839AC0
00402EBB . 64:890D 00000>mov fs:[0], ecx
00402EC2 . 5F pop edi ; kernel32.7C817067
00402EC3 . 5E pop esi ; kernel32.7C817067
00402EC4 . 5B pop ebx ; kernel32.7C817067
00402EC5 . 8BE5 mov esp, ebp
00402EC7 . 5D pop ebp ; kernel32.7C817067
00402EC8 . C3 retn
00402EC9 > 8D95 ECF8FFFF lea edx, ss:[ebp-714]
00402ECF . 68 00040000 push 400
00402ED4 . 52 push edx ; ntdll.KiFastSystemCallRet
00402ED5 . 68 07040000 push 407
00402EDA . 56 push esi
00402EDB . FFD3 call near ebx
00402EDD . 8DBD ECF8FFFF lea edi, ss:[ebp-714]
00402EE3 . 83C9 FF or ecx, FFFFFFFF
00402EE6 . 33C0 xor eax, eax
00402EE8 . F2:AE repne scas byte ptr es:[edi]
00402EEA . F7D1 not ecx
00402EEC . 49 dec ecx
00402EED . 83F9 01 cmp ecx, 1
00402EF0 . 73 26 jnb short dumped_.00402F18
00402EF2 . 6A 40 push 40 ; /Style = MB_OK|MB_ICONASTERISK|MB_APPLMODAL
00402EF4 . 68 D4904000 push dumped_.004090D4 ; |注册提示
00402EF9 . 68 A4904000 push dumped_.004090A4 ; |注册码不能为空请输入!
00402EFE . 56 push esi ; |hOwner = FFFFFFFF
00402EFF . FF15 B4804000 call near ds:[<&user32.MessageBoxA>] ; \MessageBoxA
00402F05 . 33C0 xor eax, eax
00402F07 . 8B4D F4 mov ecx, ss:[ebp-C] ; kernel32.7C839AC0
00402F0A . 64:890D 00000>mov fs:[0], ecx
00402F11 . 5F pop edi ; kernel32.7C817067
00402F12 . 5E pop esi ; kernel32.7C817067
00402F13 . 5B pop ebx ; kernel32.7C817067
00402F14 . 8BE5 mov esp, ebp
00402F16 . 5D pop ebp ; kernel32.7C817067
00402F17 . C3 retn
00402F18 > 8D85 F0FDFFFF lea eax, ss:[ebp-210]
00402F1E . 8D8D ECFCFFFF lea ecx, ss:[ebp-314]
00402F24 . 50 push eax ; /Arg4 = 00000000
00402F25 . 51 push ecx ; |Arg3 = 0013FFB0
00402F26 . 8D95 ECF8FFFF lea edx, ss:[ebp-714] ; |
00402F2C . 68 9C904000 push dumped_.0040909C ; |10001
00402F31 . 52 push edx ; |Arg1 = 7C92E4F4
00402F32 . C745 FC 00000>mov dword ptr ss:[ebp-4], 0 ; |
00402F39 . E8 82FCFFFF call dumped_.00402BC0 ; \dumped_.00402BC0
00402F3E . 85C0 test eax, eax
00402F40 . 75 26 jnz short dumped_.00402F68
00402F42 . 6A 40 push 40
00402F44 . 68 D4904000 push dumped_.004090D4 ; 注册提示
00402F49 > 68 84904000 push dumped_.00409084 ; |注册码错误,继续加油!
00402F4E . 56 push esi ; |hOwner = FFFFFFFF
00402F4F . FF15 B4804000 call near ds:[<&user32.MessageBoxA>] ; \MessageBoxA
00402F55 . 33C0 xor eax, eax
00402F57 . 8B4D F4 mov ecx, ss:[ebp-C] ; kernel32.7C839AC0
00402F5A . 64:890D 00000>mov fs:[0], ecx
00402F61 . 5F pop edi ; kernel32.7C817067
00402F62 . 5E pop esi ; kernel32.7C817067
00402F63 . 5B pop ebx ; kernel32.7C817067
00402F64 . 8BE5 mov esp, ebp
00402F66 . 5D pop ebp ; kernel32.7C817067
00402F67 . C3 retn
00402F68 > 8D85 F0FDFFFF lea eax, ss:[ebp-210]
00402F6E . 8D8D F0FEFFFF lea ecx, ss:[ebp-110]
00402F74 . 50 push eax
00402F75 . 51 push ecx
00402F76 . E8 65FDFFFF call dumped_.00402CE0
00402F7B . 83C4 08 add esp, 8
00402F7E . 83F8 01 cmp eax, 1
00402F81 . 6A 40 push 40 ; /Style = MB_OK|MB_ICONASTERISK|MB_APPLMODAL
00402F83 . 68 D4904000 push dumped_.004090D4 ; |注册提示
00402F88 .^ 75 BF jnz short dumped_.00402F49 ; |我们只需将这里的jnz short dumped_.00402F49改为jz short dumped_.00402F49就可爆破
00402F8A . 68 70904000 push dumped_.00409070 ; |恭喜你,注册码正确!
00402F8F . 56 push esi ; |hOwner = FFFFFFFF
00402F90 . FF15 B4804000 call near ds:[<&user32.MessageBoxA>] ; \MessageBoxA
00402F96 . 33C0 xor eax, eax
00402F98 . 8B4D F4 mov ecx, ss:[ebp-C] ; kernel32.7C839AC0
00402F9B . 64:890D 00000>mov fs:[0], ecx
00402FA2 . 5F pop edi ; kernel32.7C817067
00402FA3 . 5E pop esi ; kernel32.7C817067
00402FA4 . 5B pop ebx ; kernel32.7C817067
00402FA5 . 8BE5 mov esp, ebp
00402FA7 . 5D pop ebp ; kernel32.7C817067
00402FA8 . C3 retn
00402FA9 . 8B55 08 mov edx, ss:[ebp+8] ; dumped_.<模块入口点>
00402FAC . 6A 40 push 40 ; /Style = MB_OK|MB_ICONASTERISK|MB_APPLMODAL
00402FAE . 68 D4904000 push dumped_.004090D4 ; |注册提示
00402FB3 . 68 84904000 push dumped_.00409084 ; |注册码错误,继续加油!
00402FB8 . 52 push edx ; |hOwner = 7C92E4F4
00402FB9 . FF15 B4804000 call near ds:[<&user32.MessageBoxA>] ; \MessageBoxA
00402FBF . B8 C52F4000 mov eax, dumped_.00402FC5
00402FC4 . C3 retn
我们将:
00402F81 . 6A 40 push 40 ; /Style = MB_OK|MB_ICONASTERISK|MB_APPLMODAL
00402F83 . 68 D4904000 push dumped_.004090D4 ; |注册提示
00402F88 .^ 75 BF jnz short dumped_.00402F49 ; |我们只需将这里的jnz short dumped_.00402F49改为jz short dumped_.00402F49就可爆破
00402F8A . 68 70904000 push dumped_.00409070 ; |恭喜你,注册码正确!
00402F8F . 56 push esi ; |hOwner = FFFFFFFF
00402F90 . FF15 B4804000 call near ds:[<&user32.MessageBoxA>] ; \MessageBoxA
只要这么简单的修改就可用达到爆破的目的。
下面我们开始制作文件破解补丁。一点技术含量都没有,就不细说了。
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
【经验总结】
主要是能够看懂软件的注册流程。找准修改的地方,当然有些软件需要修改好几处。
如果还有什么不太明白的地方,可以到
http://www.3ast.com.cm
来找我,我们一起探讨。
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
【版权声明】: 转载请注明出处,并保证文章的完整性!
作者:
chowfaye
时间:
2008-9-29 10:11
教程我就不上传了,又需要的我传给他
作者:
chowfaye
时间:
2008-9-29 10:22
纳米盘
http下载地址:
http://www.namipan.com/d/%E7%A0% ... 6331a6366d64f408200
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2