|
来源:看雪学院 - S4 H0 y( B" ?! o
5 r4 w2 r: ?; | ) r; b6 {9 I/ B
U* O9 |$ q; T3 r! L' T
9 m {+ k$ s2 w/ y& m% [
| 我系统是win9x,每次SOFTICE都自动装载,在windows下一按CTRL+D自动激活它,有什么办法解决? | 5 h' {( D% A) `
+ e! l- W" ^0 P) q9 t& F$ C; a
| 这是SOFTICE安装时默认时改变了AUTOEXEC.BAT,自动加了一行wince.exe。每次系统启动时自动运行AUTOEXEC.BAT时将SOFTICE装载,你只要去掉这一行,问题就解决了。在你需要用SOFTICE时,在纯DOS环境下,在SOFTICE目录执行winice.exe文件即可装载。你也可自建一批处理命令来在纯DOS下装载SOFTICE。 |
! U8 _$ p5 t6 ]* u. P+ [" o0 Q: y/ w* Z: K
3 ^7 D; b* t, Y5 f) P
1 N+ ?5 s7 @% m4 u
! b+ S7 \; \; i* J) T| 2、如何知道软件是被什么加的密? | - ^3 h5 p( k4 `
1 ?/ A0 v8 E! p% h8 E) E. a
| 用TYP或GetTyp侦测文件类型或用procdump查看文件的section就可以知道用什么加密 . |
6 I8 R( v) b$ j6 }: ^- r0 P1 t/ C/ S% o, b' ?! \8 L
7 L5 F& Y) l8 L$ ~5 z, m h
3 ?% K. u- q6 g1 r9 M- q1 M- b. R7 B4 V) `& c. X; f( b0 d
| 3、经常看到脱壳时下命令bpx loadlibrarya, 下命令后SOFTICE告知未定义,我的SOFTICE怎么拦不住? |
4 G' l( H# ]4 h9 A6 q- o
& S+ M7 S. W' K& S( T! _| 在 softice 的目录下有一个文件叫 winice.dat 4 U; G" L1 |' E4 L! R( F% d, m
其实是个文本文件,将这文件的最后几行把他改成如下 :9 I M9 C7 S# f9 a, d3 z S
前面有分号的就是注解,把后面有 *32.dll 的方号去掉就行了 1 E5 z9 ~- |. q
顺便加上 vb5, vb6 的 dll, 也可拦 vb 的 function 了 % d' {2 t- W! H0 E' C! C+ N8 n/ c
EXP=c:\windows\system\kernel32.dll ! g' f+ X7 b* W" l
EXP=c:\windows\system\user32.dll 1 m1 _! f3 h# T/ ]" i! U
EXP=c:\windows\system\gdi32.dll ; M$ }( F3 M. U3 a4 ?# h; F. ^
EXP=c:\windows\system\comdlg32.dll - \/ ^) C9 a. Y9 D
EXP=c:\windows\system\shell32.dll % {6 z0 A) L% l9 R
EXP=c:\windows\system\advapi32.dll
% v: X. b9 |0 c" x) L( JEXP=c:\windows\system\shell232.dll - C( `. _- |7 v# }+ n8 ^% k
EXP=c:\windows\system\comctl32.dll
' U, c) C9 g- b Y;EXP=c:\windows\system\crtdll.dll
) o( O; V1 h/ k4 |& r& t;EXP=c:\windows\system\version.dll 9 l8 E8 K e0 A" D& f" V8 V
EXP=c:\windows\system\netlib32.dll
8 _. r/ Y+ Z5 \6 w) U! N;EXP=c:\windows\system\msshrui.dll ! r+ ~8 i1 }8 L. ?1 u
EXP=c:\windows\system\msnet32.dll $ H! ?8 i* ~; ]5 Q
EXP=c:\windows\system\mspwl32.dll
( w% w2 M4 c( m;EXP=c:\windows\system\mpr.dll
% K% s ?! X% @. x& j" Wexp=c:\soft\95logo3\vb40032.dll
: k( _1 b. w" [: q$ Bexp=c:\windows\system\msvbvm50.dll $ M( Q4 o) l3 d
exp=c:\windows\system\msvbvm60.dll | # X+ T% K. V4 |- H
4、我在调试软件时,经常看到寄存器是EAX、EBX、ECX或AX、BX、CX等,这是怎么回事?. j% b) z( {5 O! ~7 d7 O( ~0 T
因为win9x系统是一个16位和32位混合的操作系统,在这系统上能运行16位和32位的应用软件,所以你如调试不同位数的软件时,在寄存器上就反应出来了,EAX、EBX、ECX等是32位寄存器,而AX、BX、CX等是来表示16位寄存器。 * x1 ]. E& e9 R$ a, m2 ~
5、如何在TRW2000下拦截VB运行库中的函数? 9 q0 L! c" o% M& M9 V8 d
你要用TRW2000拦截Vb程序,需要用1.15版以上,将相应的VB运行库复制到TRW2000的DLL目录下,你也可用此法装载其它DLL文件。 4 E0 W4 C8 K) s7 N
6、问:我只会用bpx hmemcpy来下断点,也看过看雪先生的教学文章,但对其他断点一直是一知半解,所以现在问题来了。 某些程序并没有输入注册码的地方,只在开始运行时弹出一个对话框,告诉你还剩多少天了,有延迟,这种软件一般怎么破解。如:LView pro、PaintShop pro等
1 _1 X& H4 e: O/ g- P9 W5 p答:
7 ?) c9 g, Z7 q8 O$ d A程序像一条竹竿,断点就是上面的结(当然是我们设定的)。选择一个好的断点有助于我们少走弯路。其实你说的情况,没有注册窗口,只有nag. 此时可能仍可以用bpx hmemcpy。此外,你可以采用其它方法。 / q6 S8 H9 v- I+ B& b7 h. C1 `
以paint shop pro 5.01 evaluation为例。你用bpx hmemcpy是拦不住的。但还可以用如下几种方法。
- w! W! B" ?2 f5 V$ q2 O1. 当nag窗口出现后,激活trw or softice,下断点bpx lockmytask(或bpx destroywindow),回到psp.exe,按下start按钮后程序就会阻断。再用F10 或 F12走。直到你见到如下结构。
" b2 q- f5 N0 y4 T. O; i! k! p% Dcs:******** call ****** <-- 用F10带过这一步后会有延迟画面。
+ P) L. C4 |3 Qcs:******** test al, al <-- 此时你在这行。程序确定你按下的是何按钮 2 A/ H5 F+ o8 J/ @0 H- Q- n
这时按下F6,你就可以找到这个call前的code,并在其上下断点。若在这之前有跳转,如jz,jnz等,你就可以想办法使nag窗口不出现。
* {9 }" S. a7 F4 ]2. 在这个nag窗口中,你会见到一些"版权宣言"及"你已经试用了*天,还有**天可以用"等的话。将之抄下,叫出trw 或softice,用
+ ]. p! b' I( Q; fs 0 ffffffff "抄下的话"(trw) 或
& V4 j/ l+ R9 ]% s7 b, \( Fs 0 L ffffffff "抄下的话"(SOFTICE)找到其调用的地址。下断点 bpm "找到的地址"来拦截,余下的同例1。 " m! D" O |/ v( d1 N d
3. 若程序主窗口完全出现后再有延迟窗口出现,你可以在主窗口出现,而延迟窗口还未出现之际强行叫出trw(ctrl+N) 或softice(ctrl+D),然后一步步走,直到你确定了延迟窗口出现的那行code.
0 L( S& P7 |6 Z$ A, h8 ^, p8 W4. 如程序没有被压缩、加壳。你可以用w32dasm等静态反汇编方法,在string reference中找到延迟窗口中的话,在这代码前下断点拦截。
; {6 R$ s+ A- j% {& [$ x( c以上简单介绍了几种方法,不知对你是否有帮助。 ' Y3 K% I K. q# Q& O" @0 D
7、问:命令"bpx regqueryvalueexa if *(esp->8)>='Soft' do "d(esp->14)"我看不大懂,您能给讲一下吗?多谢。
3 W, s: H9 f2 P7 e7 C答:这个指令是一个复合指令,因为存注册码的键值是Softkey,其名字在[esp+8]中,其值在[esp+14]中. . F5 w4 m0 S* a, r' }- O3 j
当其值等于或大于Soft(因为只允许4个字符,不能输全键名)时中断,就拦在读Softkey的那个Call. 0 k$ q4 H8 Y$ Y$ ^
否则每次程序call regqueryvalueexa时都会被拦. ' J# a& w: M# S8 z3 ~
拦住后,显示[esp+14]的内容.至于详细用法,你可以参考softice的用户手册,其中会解释*, 9 Q9 P K% x0 o- P( \
->等内容的. 开始时只要照做,以后提高了再弄明白原理就可以了. . O+ V" }) }+ x9 O- K f+ q
8、问:为什么用W32DASM反汇编不能显示中文信息? ( ` o. m1 I; e- w2 z5 H, i h
答:wdasm是这样的,你可以用十六进制编辑器查找中文改为英文后再反汇编. $ P1 B: l" m+ Y9 S
9、问:请问如何修改TRW2000的字体颜色?
# p6 J. V/ B- c( }答:在TRW2000命令下用ver blue。
0 e/ A7 |4 K8 V. n10、问:介绍一下Launcher Generator补丁制作工具 % ^# s& [; A- U# g, w, @+ V( Z
答:LGen的优点在于它可以控制何时Patch. 在运行它生成的Loader后,会出现一个提示窗,当按下OK按钮后,它才对目标程序做Patch.用法很简单,而且界面是GUI的.在http://ringzer0.cjb.net(它的老家,Tools项下)可以下载或者其它破解工具站点找. - }2 ?$ o! L5 r; t% _. H' c
11、问:我在用hiew改如下代码时:5 U, D% L. f- R( m+ |' b
00469206 e877d5f9ff call 00406782 - n# g5 N/ ?: T3 z& P2 Y& ]
0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx' \ @! c& g' p; j; e
我想屏蔽掉第一行:是否用 nop指令?我试了试,但修改后,发现第二行 变成了: 00469207 f4 hlt 是否对程序有影响,修改时必须保证源字节数? 6 y0 ], s4 c+ c0 w- `. i
答:当然有影响,你修改必须保证nop的字节=e877d5f9ff的字节:
( A" ?& p1 Z* n 7 F( M4 j* b, s) F
00469206 e877d5f9ff call 00406782 这行要5个nop来填充即: 9090909090代替e877d5f9ff - B1 e2 [; y/ m r+ }
你在hiew中连续改5行后,这一行就会又正常了0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx ( c5 Q' H: q; Z2 v
12、问:我在破解时,追到一行这样的代码: ; X' ?; {+ h4 Q1 u* z: x# |. V# J5 O
00406582 0f84f1000000 je 000406679
. V S' h' ?, x我想改变程序的方向,je改为jne后是否可以,如不是该怎样,请指教。 + q5 ^4 R% ^6 k+ v) P( v9 @
另,在win32dasm中,我想改反汇编后的代码,如何改?是否得用别的16位编辑器,怎么用?
9 v" C5 h- R# |& v+ T$ C+ G以上两个问题,困惑了我很久,请各位多指教,不胜感激!!!!!!!
: I& j T' ]3 |2 m% ^' m8 u答:
& b4 Q, V b/ F$ w. D3 i$ C8 d+ x①00406582 0f84f1000000 je 000406679
- v5 e7 y$ f3 b3 s* S2 z: d- S) [0 o你可在这一行,下A命令(进入小汇编状态),然后可输入你的正确的汇编代码,你在这可改为:jne 000406679 Y* U3 M+ i4 L; T0 `8 b8 c B8 b
但TRW2000 demo版,此命令不能用,你可用SOFTICE来完成这工作。 # {, |5 ` S$ ^) F1 }6 |% L2 P
但我推荐你可在这一行,在TRW2000或SOFTICE下命令:r fl z
% p! w9 K" S2 J6 _这样就可改变跳转指令。
- H* p" q6 D# }- Q/ ?! E* W$ v/ h" qfl是标志寄存器,r命令修改此寄存器相关的值,具体参考SOFTICE手册和汇编书籍。 & C2 e! J2 [+ M P
在win32dasm中不能改变程序代码,你可用16进制工具来完成,推荐用hiew来完成。
+ N9 D, k4 F7 {% L- v②也可以在trw中,用鼠标移动到愈修改代码出,直接修改,如75变74,即jnz->jz. X |2 ?! v: t- L: \
/ F) g" z0 L# @) ?8 }3 ~③在trw中,下命令e adress [欲修改之代码]
. n! M' A1 B$ R- b+ x/ Z1 @14、问:在汇编语言中,"[]"的用法?如: ; F5 P/ _( A" i( o! i t: i
1、push dword ptr [024c1100] t. i3 s- j+ ] A
2、cmp eax,[ebp+14] . E5 i) I. k) K, n
3、cmp byte ptr [eax],46 4 r+ C: ]- S, D, {+ l. z- y
4、lea eax,[edx-02] ( G" O( N% `1 W. M+ |- ~3 S: O
5、mov ecx,[edx+08]
& g2 e! j9 U4 k5 B; x, M其中"[]"里的内容,什么时候表示的是值,什么时候表示的是地址,为什么?第4个是不是把"edx-02"的值作为地址送给eax??? & {9 T' n' ?. {# t' [) o3 p/ P
另一个问题是:我发现在soft-ice中,在寄存器区(即最上面的那个区,标志位下面)的右下脚有一个类似:"ds:xxxxxxxx=xxxxxxxx"的字样,时隐时现,并不断变化,不知是干什么用的,请指教,不胜感激!!!!!!!! + [% z5 V3 h% |) X
答:
6 q7 M, ?# ^, |/ q/ J# Z% D①右下角显示的那个是当前指令要操作的内存的地址及内容 。
; Y. F8 ^' L( c l/ c( j" ylea指令表示取有效地址,第4个是把"edx-02"的值送给eax。 + ~" g p9 N& ^/ G
②
; B1 r0 ~: k/ m; K1,压栈024c1100值的双字 6 E2 [$ \6 ^# C" k2 Z0 s; q6 l
2,eax-ebp+14的有效值,不保留值,主要看标志位。 * ^5 m2 z% o8 A7 }- q' A8 S
3,字节型eax-46,看标志位
/ X1 y8 c& C/ [6 {# v4,把edx-02的有效值给eax
a4 F. j( |) ~9 S/ u, E1 _5,edx+8处值作为地址,此地址的值给ecx
# h1 I% I2 g" d2 ^3 [. A15、问:能否推荐几本书? * e: R) G" O9 w
答:
/ Y% v6 u' }) ~- Z. I j: }9 ^2 o1、《Win95系统编程奥秘》在这里:http://www.multimania.com/mpietreks2/
; }6 n ~" ^: l- D7 |2、《Thinking in C++》:http://www.bruceeckel.com/ThinkingInCPP2e.html ! N1 |% h+ i8 e0 w Z
3、《Art of ASM》简直是汇编大全,http://win32asm.cjb.net或 http://personales.com/eeuu/arizona/Aesculapius/ebooks.html 或http://huizen.dds.nl/~books/。 0 [/ w) ~2 R# d. a& d
4、 http://proxy.spaceproxy.com/-_-http://personales.com/eeuu/arizona/Aesculapius/files.html # D1 ~( r* k/ R, ~! @1 u! o
5、 7 ]" C: V4 {3 y1 y2 F
16、问:我是初学者。用softice拦下后。f12转到那个领空。但那个领空有什么特征?怎样看?我不明白。 以hiew为例。我试了很多次。f12从头按到尾都看不到哪里标着hiew的。
+ i! m2 }. P6 y% a7 x答:你换个图形界面的windows程序试试,不要用hiew,f12并不是转到那个领空,F12是跳出子程序,如: ( J% G9 ]) q/ p: v- g8 M
mov eax,1 ' ]. O5 B) ~ F# Y
inc eax 9 ? _ ~0 z- I. {5 w+ X6 B
ret---------你在这段程序中按F12,就跳出此子程序,从RET处返回到上一程序中去。你如多按F12就等于跳出多个子程序,其实你用F10也能达到这一目的,F10来到inc eax,再按F10,执行RET一行,结果和你按F12一样的,只是F12更省事。
: _( w+ R; R4 _) b/ U: N$ b领空是一形象说法,说明SOFTICE目前调试的程序代码是哪个程序的,一般会在SOFTICE屏幕下的三分之一处会有一光条线,中间有文件名,如: " I$ P+ V( {! r# ~! E) d
------------------------ACDSEE!CODE+???------------------------ : x4 b. d' G. Y
这表明目前SOFTICE是在ACDSEE程序的代码处,是ACDSEE.EXE不是ACDSEE.DLL就不知了,要具体分析
0 o- J/ F8 Y" a8 j: |
& h: v3 q( }7 O* I! { | 
IP卡
狗仔卡
发表于 2005-3-20 13:40
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
