|
来源:看雪学院 + e! _' H# A8 ^+ o Z
4 E" g" r9 m: q/ n' t' R% q$ n$ a* V
6 g) } r/ X% Y4 G
/ ?% C( e* B8 c+ y( O: G
0 k, m; w4 {# ~0 c) Z| 我系统是win9x,每次SOFTICE都自动装载,在windows下一按CTRL+D自动激活它,有什么办法解决? |
: o3 E' m9 k) O$ L
' Y M3 \) f; _0 Z8 U H6 _4 H; Q4 S| 这是SOFTICE安装时默认时改变了AUTOEXEC.BAT,自动加了一行wince.exe。每次系统启动时自动运行AUTOEXEC.BAT时将SOFTICE装载,你只要去掉这一行,问题就解决了。在你需要用SOFTICE时,在纯DOS环境下,在SOFTICE目录执行winice.exe文件即可装载。你也可自建一批处理命令来在纯DOS下装载SOFTICE。 |
2 P `1 y [! X' C6 J& y
2 `5 C% A8 T: y" N
0 [: G! [& f/ A: f+ M
' [3 v8 T% ~" W- L- c0 V; ~7 L0 e/ j4 e
| 2、如何知道软件是被什么加的密? | - M: `: F! |# D/ N' f5 \
0 A: }5 w* j# k( x4 d| 用TYP或GetTyp侦测文件类型或用procdump查看文件的section就可以知道用什么加密 . |
. l9 b# _5 J9 Q7 P+ I: m- V, K# S' r; C' C5 C
4 s+ J" S3 O+ E: P; q
3 } Q2 w& G3 G
7 Y" }6 f/ {0 k& X. R7 q0 m| 3、经常看到脱壳时下命令bpx loadlibrarya, 下命令后SOFTICE告知未定义,我的SOFTICE怎么拦不住? |
, s; ~$ a3 \# [( b
$ C1 H, M# J* @0 x4 [| 在 softice 的目录下有一个文件叫 winice.dat , r, u: T+ R1 L1 E
其实是个文本文件,将这文件的最后几行把他改成如下 :
+ \3 @' k. C0 x, t前面有分号的就是注解,把后面有 *32.dll 的方号去掉就行了
* Q2 F: [* E' J! u, v顺便加上 vb5, vb6 的 dll, 也可拦 vb 的 function 了 % m0 ?% @1 y% g
EXP=c:\windows\system\kernel32.dll
' Q0 ?' i" ` c! |; c6 X. K- IEXP=c:\windows\system\user32.dll
1 i4 [# \# R" n# Q/ m8 `! pEXP=c:\windows\system\gdi32.dll 6 u" D7 M& e$ u
EXP=c:\windows\system\comdlg32.dll 1 w5 r- @8 N3 O7 m( F& e) m
EXP=c:\windows\system\shell32.dll
7 d- h/ }: A7 p, |EXP=c:\windows\system\advapi32.dll # S3 s g. S' x! c7 B6 D6 ]* l
EXP=c:\windows\system\shell232.dll
/ i: I x& {8 F* T1 j$ P" b6 wEXP=c:\windows\system\comctl32.dll
2 K4 g5 m4 X/ @;EXP=c:\windows\system\crtdll.dll " ]8 U3 F+ i0 n2 }9 Z5 @. ?, [. L6 J
;EXP=c:\windows\system\version.dll
, o+ x# Y% k( K5 M5 iEXP=c:\windows\system\netlib32.dll
/ H& Y! ^& ~ g& X/ R1 F;EXP=c:\windows\system\msshrui.dll ) W2 z' M2 Y5 M7 p' F
EXP=c:\windows\system\msnet32.dll
4 Q3 C# v5 L: B- VEXP=c:\windows\system\mspwl32.dll 8 C- m# T0 i) v& \+ t {+ v; C
;EXP=c:\windows\system\mpr.dll
. U7 s1 S( c! P8 k n& n8 Q/ {exp=c:\soft\95logo3\vb40032.dll
" E; @* D* {5 K4 C- }8 z2 x% a, E1 Rexp=c:\windows\system\msvbvm50.dll 5 C. }2 p: A1 n; y& e+ d% U, z
exp=c:\windows\system\msvbvm60.dll | ' i3 P1 j+ B l5 @* B9 S
4、我在调试软件时,经常看到寄存器是EAX、EBX、ECX或AX、BX、CX等,这是怎么回事?
( Q" [; S0 y- v, I& a0 d因为win9x系统是一个16位和32位混合的操作系统,在这系统上能运行16位和32位的应用软件,所以你如调试不同位数的软件时,在寄存器上就反应出来了,EAX、EBX、ECX等是32位寄存器,而AX、BX、CX等是来表示16位寄存器。 ) _; i& Y3 i8 h1 D" n4 X/ d
5、如何在TRW2000下拦截VB运行库中的函数? . ]' h- Q: t2 G- {4 N+ |+ d: Y- X
你要用TRW2000拦截Vb程序,需要用1.15版以上,将相应的VB运行库复制到TRW2000的DLL目录下,你也可用此法装载其它DLL文件。
3 v/ q! G o6 L7 D6、问:我只会用bpx hmemcpy来下断点,也看过看雪先生的教学文章,但对其他断点一直是一知半解,所以现在问题来了。 某些程序并没有输入注册码的地方,只在开始运行时弹出一个对话框,告诉你还剩多少天了,有延迟,这种软件一般怎么破解。如:LView pro、PaintShop pro等 1 ~" q. x5 _. X6 }8 \! |6 x
答:5 n) i3 T% k3 k- ]. \# w& e
程序像一条竹竿,断点就是上面的结(当然是我们设定的)。选择一个好的断点有助于我们少走弯路。其实你说的情况,没有注册窗口,只有nag. 此时可能仍可以用bpx hmemcpy。此外,你可以采用其它方法。
' s4 ~+ l* O5 e8 q, Z# D& X以paint shop pro 5.01 evaluation为例。你用bpx hmemcpy是拦不住的。但还可以用如下几种方法。 * B1 L# B4 S Y# R" N. i% ~
1. 当nag窗口出现后,激活trw or softice,下断点bpx lockmytask(或bpx destroywindow),回到psp.exe,按下start按钮后程序就会阻断。再用F10 或 F12走。直到你见到如下结构。 1 y+ f% ]4 M, m/ [" ^0 X( G
cs:******** call ****** <-- 用F10带过这一步后会有延迟画面。 2 x* \( V; m9 h( K& W
cs:******** test al, al <-- 此时你在这行。程序确定你按下的是何按钮 # B6 p, \+ N- X) ?0 c2 [
这时按下F6,你就可以找到这个call前的code,并在其上下断点。若在这之前有跳转,如jz,jnz等,你就可以想办法使nag窗口不出现。 0 N$ v F _) [+ ?' K
2. 在这个nag窗口中,你会见到一些"版权宣言"及"你已经试用了*天,还有**天可以用"等的话。将之抄下,叫出trw 或softice,用 0 H$ E2 G* W4 c9 X
s 0 ffffffff "抄下的话"(trw) 或 , O3 Z y* ~$ X# C
s 0 L ffffffff "抄下的话"(SOFTICE)找到其调用的地址。下断点 bpm "找到的地址"来拦截,余下的同例1。
3 K5 c2 b; [% C" O! {9 [3. 若程序主窗口完全出现后再有延迟窗口出现,你可以在主窗口出现,而延迟窗口还未出现之际强行叫出trw(ctrl+N) 或softice(ctrl+D),然后一步步走,直到你确定了延迟窗口出现的那行code.
: A. j! ~. @. ?- m/ ]' p) Q4. 如程序没有被压缩、加壳。你可以用w32dasm等静态反汇编方法,在string reference中找到延迟窗口中的话,在这代码前下断点拦截。
' T; U" ]" j- ~% ?以上简单介绍了几种方法,不知对你是否有帮助。
. T" ~ U' j9 c8 {$ j2 Q% }& N/ y6 e: G7、问:命令"bpx regqueryvalueexa if *(esp->8)>='Soft' do "d(esp->14)"我看不大懂,您能给讲一下吗?多谢。 , k N5 w+ A2 V* f
答:这个指令是一个复合指令,因为存注册码的键值是Softkey,其名字在[esp+8]中,其值在[esp+14]中. - [6 F% U _ J& }) P5 g% _# S
当其值等于或大于Soft(因为只允许4个字符,不能输全键名)时中断,就拦在读Softkey的那个Call. . T7 A* P% @* K' j
否则每次程序call regqueryvalueexa时都会被拦. : R. u) o; h4 c/ v4 u
拦住后,显示[esp+14]的内容.至于详细用法,你可以参考softice的用户手册,其中会解释*,
- C, d" g8 ?( i* Z->等内容的. 开始时只要照做,以后提高了再弄明白原理就可以了.
3 U; p- q/ I' n: @: m8、问:为什么用W32DASM反汇编不能显示中文信息? 9 v0 C" b5 ]% \
答:wdasm是这样的,你可以用十六进制编辑器查找中文改为英文后再反汇编.
$ Y% I* k. a7 J1 l+ o4 A2 I: r9、问:请问如何修改TRW2000的字体颜色? $ N! J2 d/ F. I: n
答:在TRW2000命令下用ver blue。
' l# A0 _; X" T; z( L- S10、问:介绍一下Launcher Generator补丁制作工具
, z( S. Y/ A# g4 q; X8 O答:LGen的优点在于它可以控制何时Patch. 在运行它生成的Loader后,会出现一个提示窗,当按下OK按钮后,它才对目标程序做Patch.用法很简单,而且界面是GUI的.在http://ringzer0.cjb.net(它的老家,Tools项下)可以下载或者其它破解工具站点找.
# w. N, U) x) Q5 A! D11、问:我在用hiew改如下代码时:, Z% I: S5 N; ~6 @( ]' M/ a
00469206 e877d5f9ff call 00406782 2 M5 S) l4 [1 v5 h9 a
0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx
. I T6 o7 {9 E f我想屏蔽掉第一行:是否用 nop指令?我试了试,但修改后,发现第二行 变成了: 00469207 f4 hlt 是否对程序有影响,修改时必须保证源字节数? 9 ^! K' n0 k5 Z$ _( Y
答:当然有影响,你修改必须保证nop的字节=e877d5f9ff的字节:) d" U* w: Q2 P
2 s: o: d0 T( q* k
00469206 e877d5f9ff call 00406782 这行要5个nop来填充即: 9090909090代替e877d5f9ff
c s$ T0 \$ o0 D你在hiew中连续改5行后,这一行就会又正常了0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx
{& w, m* H1 s- y1 _# q7 W- J. ]8 S8 c12、问:我在破解时,追到一行这样的代码:
) d8 C$ [5 f7 w# ?$ m, A00406582 0f84f1000000 je 000406679
, ^1 D- K0 l* T1 m我想改变程序的方向,je改为jne后是否可以,如不是该怎样,请指教。
4 d3 F9 b, I9 m- g" a另,在win32dasm中,我想改反汇编后的代码,如何改?是否得用别的16位编辑器,怎么用?
, r1 M7 y5 \7 |& }以上两个问题,困惑了我很久,请各位多指教,不胜感激!!!!!!! - U h; W- x$ t! {
答: / S+ d* l! f2 Y- Q
①00406582 0f84f1000000 je 000406679 : @9 X3 j# g- W& j$ N
你可在这一行,下A命令(进入小汇编状态),然后可输入你的正确的汇编代码,你在这可改为:jne 000406679 + L O4 ]+ E- E0 O' ]
但TRW2000 demo版,此命令不能用,你可用SOFTICE来完成这工作。
8 G4 A1 d5 n. s7 ^8 `- b但我推荐你可在这一行,在TRW2000或SOFTICE下命令:r fl z
, G0 m( M& s9 o3 w, q, A7 z [这样就可改变跳转指令。
& e# O3 x: v- `' @& W9 P% o' Ifl是标志寄存器,r命令修改此寄存器相关的值,具体参考SOFTICE手册和汇编书籍。 5 [# f/ l q. R# f6 H
在win32dasm中不能改变程序代码,你可用16进制工具来完成,推荐用hiew来完成。
( Y& T7 }# j2 { x* B②也可以在trw中,用鼠标移动到愈修改代码出,直接修改,如75变74,即jnz->jz
3 I. \6 e/ J: `8 d( x
; P3 J" H6 D/ D③在trw中,下命令e adress [欲修改之代码]
8 l" R. U! s S. X1 p' Y& `14、问:在汇编语言中,"[]"的用法?如: : D% v1 a j1 e$ V9 J! F0 p# \) V
1、push dword ptr [024c1100] 7 T( j1 F* v' n" m" s0 Z
2、cmp eax,[ebp+14] ; b6 o; u# G+ [. f! K5 y
3、cmp byte ptr [eax],46
* V: m1 s' D0 F. X1 X, W% K+ H ?( f4、lea eax,[edx-02] X3 I) \# r5 f F8 Z" e3 D
5、mov ecx,[edx+08]
( w, E6 _. c+ Y" K其中"[]"里的内容,什么时候表示的是值,什么时候表示的是地址,为什么?第4个是不是把"edx-02"的值作为地址送给eax???
5 G. p4 \1 e9 |; r- \- r4 ~' O另一个问题是:我发现在soft-ice中,在寄存器区(即最上面的那个区,标志位下面)的右下脚有一个类似:"ds:xxxxxxxx=xxxxxxxx"的字样,时隐时现,并不断变化,不知是干什么用的,请指教,不胜感激!!!!!!!!
+ W: h0 ]/ c- V, W6 w6 {答: 5 g; H# v9 N, v# E9 i; U" e' ~5 O
①右下角显示的那个是当前指令要操作的内存的地址及内容 。" K8 O* V* ~. J+ O: F2 B/ }; t4 z
lea指令表示取有效地址,第4个是把"edx-02"的值送给eax。
' T" x/ B( `, d A+ ?3 E' I: i②
( D: Z8 r+ p3 a$ |5 J8 Y6 K1,压栈024c1100值的双字
$ C- t* a0 j$ X5 e7 S1 N, b2,eax-ebp+14的有效值,不保留值,主要看标志位。
' |5 x! S! H. h, z* D5 t3,字节型eax-46,看标志位
. f" i. i1 L' ? _; r) y4,把edx-02的有效值给eax
! ]8 M8 z5 y' Y* C5,edx+8处值作为地址,此地址的值给ecx
) Y( q1 T5 Z6 T! y3 U6 i. Q' B3 J15、问:能否推荐几本书? - P0 m; G* y; ^% ^
答: * W- D8 [6 m9 Z* ^
1、《Win95系统编程奥秘》在这里:http://www.multimania.com/mpietreks2/
/ M! B/ j4 H' @$ o2、《Thinking in C++》:http://www.bruceeckel.com/ThinkingInCPP2e.html 6 m: I7 @6 s: |& f
3、《Art of ASM》简直是汇编大全,http://win32asm.cjb.net或 http://personales.com/eeuu/arizona/Aesculapius/ebooks.html 或http://huizen.dds.nl/~books/。
% T v0 f/ p- J6 X: L; c4 h1 N3 `4、 http://proxy.spaceproxy.com/-_-http://personales.com/eeuu/arizona/Aesculapius/files.html
- w9 ~" P% P; M9 D4 t M! @5、 1 X: S7 l" h9 u+ h
16、问:我是初学者。用softice拦下后。f12转到那个领空。但那个领空有什么特征?怎样看?我不明白。 以hiew为例。我试了很多次。f12从头按到尾都看不到哪里标着hiew的。 ) a# r8 f7 `$ J- q3 m$ e5 q* I
答:你换个图形界面的windows程序试试,不要用hiew,f12并不是转到那个领空,F12是跳出子程序,如:
1 u9 u5 r( }) Smov eax,1
+ ?2 b a0 [9 z0 o7 i7 l' vinc eax % }0 m& p2 I* |# \$ f9 i1 i
ret---------你在这段程序中按F12,就跳出此子程序,从RET处返回到上一程序中去。你如多按F12就等于跳出多个子程序,其实你用F10也能达到这一目的,F10来到inc eax,再按F10,执行RET一行,结果和你按F12一样的,只是F12更省事。 $ A5 S- n2 S1 L! V( n
领空是一形象说法,说明SOFTICE目前调试的程序代码是哪个程序的,一般会在SOFTICE屏幕下的三分之一处会有一光条线,中间有文件名,如: . l8 |2 K9 O H' B7 z6 V) W
------------------------ACDSEE!CODE+???------------------------ : z' ~, [5 o0 h8 D8 w& C! L) y
这表明目前SOFTICE是在ACDSEE程序的代码处,是ACDSEE.EXE不是ACDSEE.DLL就不知了,要具体分析 ! _2 r8 v1 f& W% r" b# W$ K) q
8 h9 P# d9 v$ W. s7 b | 
IP卡
狗仔卡
发表于 2005-3-20 13:40
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
