|
软件破解常见问题 ) w2 Z/ u( j" Z, _5 v
来源:看雪学院 7 q. F4 }3 o" G @8 \7 C
7 e4 f N# [* @! C4 L y5 A) X7 B
5 r$ P. e T v! P. ^/ B
0 C( m. u8 e2 _% G# l& ^6 S" L) }2 `
| 我系统是win9x,每次SOFTICE都自动装载,在windows下一按CTRL+D自动激活它,有什么办法解决? | , g+ x/ p: f7 x0 O- Q
# ~$ f+ m+ T* y( e2 c| 这是SOFTICE安装时默认时改变了AUTOEXEC.BAT,自动加了一行wince.exe。每次系统启动时自动运行AUTOEXEC.BAT时将SOFTICE装载,你只要去掉这一行,问题就解决了。在你需要用SOFTICE时,在纯DOS环境下,在SOFTICE目录执行winice.exe文件即可装载。你也可自建一批处理命令来在纯DOS下装载SOFTICE。 |
1 p1 x1 c# P, y) |% A. U3 ]5 @4 N% x) k, P: V/ Q2 B
' _; v( o. i3 x0 J8 d* S
( E9 k2 u& u4 F: U$ o' Y) _# x0 x9 V
! O1 V& X: s+ ? n9 E! U| 2、如何知道软件是被什么加的密? | 8 v2 O% O/ O9 b6 U y
! n5 i. y$ f" Q# x+ g" `
| 用TYP或GetTyp侦测文件类型或用procdump查看文件的section就可以知道用什么加密 . | & f; F# b0 q; Y" I
* p( W: u2 g- g: V% H
# E+ I& K9 _1 S7 g8 m+ U8 c% f
+ ] l: K7 T9 V1 D
9 y {1 N5 s% M$ m| 3、经常看到脱壳时下命令bpx loadlibrarya, 下命令后SOFTICE告知未定义,我的SOFTICE怎么拦不住? | 4 j8 e4 h" W5 F0 K9 q
( Z; |1 i; I1 D& ]& d: R) Q% b" u
| 在 softice 的目录下有一个文件叫 winice.dat / O5 F0 p/ ?2 X: u8 d" I
其实是个文本文件,将这文件的最后几行把他改成如下 :* U/ M+ |: D* l) z' m! y' n
前面有分号的就是注解,把后面有 *32.dll 的方号去掉就行了
8 N$ t7 t9 L" l( J" U8 f [顺便加上 vb5, vb6 的 dll, 也可拦 vb 的 function 了 5 i4 ?. N5 t+ h
EXP=c:\windows\system\kernel32.dll
" G" I" M0 ?0 Y9 uEXP=c:\windows\system\user32.dll " D& y( W. q) h7 [9 {9 o) d
EXP=c:\windows\system\gdi32.dll
% N1 U: I' `. K: A' K* `1 Q$ S5 BEXP=c:\windows\system\comdlg32.dll # w- S. c* w2 d+ c' R8 V
EXP=c:\windows\system\shell32.dll
( s R: M* ?) [" C* FEXP=c:\windows\system\advapi32.dll # I4 v9 L3 ~$ R$ ?
EXP=c:\windows\system\shell232.dll ! S: U; @% s: r9 [* n& T
EXP=c:\windows\system\comctl32.dll 7 t" I! U Z4 u5 q. Z
;EXP=c:\windows\system\crtdll.dll . f) w8 k+ I% A2 d' D! D
;EXP=c:\windows\system\version.dll
7 Q" m* s' L. @$ K0 } j/ E8 JEXP=c:\windows\system\netlib32.dll # i9 Y* T' l8 c7 K9 o
;EXP=c:\windows\system\msshrui.dll ( R/ u2 {0 X9 z6 f$ T' f; u
EXP=c:\windows\system\msnet32.dll % d$ L$ t6 u# _( M
EXP=c:\windows\system\mspwl32.dll 1 w9 o! E7 z: A! c5 l
;EXP=c:\windows\system\mpr.dll
6 L& _' f# A8 z$ vexp=c:\soft\95logo3\vb40032.dll , ]7 `* F- M w7 W
exp=c:\windows\system\msvbvm50.dll
3 o" e6 @0 ^) C9 rexp=c:\windows\system\msvbvm60.dll | ! m3 ?6 h; l) K/ j
4、我在调试软件时,经常看到寄存器是EAX、EBX、ECX或AX、BX、CX等,这是怎么回事?
5 h, k& ~" G% `$ L1 s! ~2 h因为win9x系统是一个16位和32位混合的操作系统,在这系统上能运行16位和32位的应用软件,所以你如调试不同位数的软件时,在寄存器上就反应出来了,EAX、EBX、ECX等是32位寄存器,而AX、BX、CX等是来表示16位寄存器。
8 C. ?. U% i1 m- @/ k5、如何在TRW2000下拦截VB运行库中的函数?
. r5 M0 z c" \3 M) G你要用TRW2000拦截Vb程序,需要用1.15版以上,将相应的VB运行库复制到TRW2000的DLL目录下,你也可用此法装载其它DLL文件。 4 \* G& b0 }* J* b- c0 o
6、问:我只会用bpx hmemcpy来下断点,也看过看雪先生的教学文章,但对其他断点一直是一知半解,所以现在问题来了。 某些程序并没有输入注册码的地方,只在开始运行时弹出一个对话框,告诉你还剩多少天了,有延迟,这种软件一般怎么破解。如:LView pro、PaintShop pro等
" V( v! }% L4 a. e7 |/ j4 ]答:
1 w5 h: u6 p4 c& H2 B程序像一条竹竿,断点就是上面的结(当然是我们设定的)。选择一个好的断点有助于我们少走弯路。其实你说的情况,没有注册窗口,只有nag. 此时可能仍可以用bpx hmemcpy。此外,你可以采用其它方法。
$ g( c2 ?7 g! Z6 }; `! ]8 d2 M4 r3 v以paint shop pro 5.01 evaluation为例。你用bpx hmemcpy是拦不住的。但还可以用如下几种方法。
- i- F8 A9 ]/ }4 V1. 当nag窗口出现后,激活trw or softice,下断点bpx lockmytask(或bpx destroywindow),回到psp.exe,按下start按钮后程序就会阻断。再用F10 或 F12走。直到你见到如下结构。 / |& e# V: R5 e0 O
cs:******** call ****** <-- 用F10带过这一步后会有延迟画面。
8 k" ]9 Q2 g0 T( B& N* jcs:******** test al, al <-- 此时你在这行。程序确定你按下的是何按钮 + r/ }$ b9 I0 {2 P
这时按下F6,你就可以找到这个call前的code,并在其上下断点。若在这之前有跳转,如jz,jnz等,你就可以想办法使nag窗口不出现。
& ^ m$ a- p# y; R8 V2. 在这个nag窗口中,你会见到一些"版权宣言"及"你已经试用了*天,还有**天可以用"等的话。将之抄下,叫出trw 或softice,用
) m. i% j& g ~4 Q6 Is 0 ffffffff "抄下的话"(trw) 或
1 i( l% k6 t$ k a5 ss 0 L ffffffff "抄下的话"(SOFTICE)找到其调用的地址。下断点 bpm "找到的地址"来拦截,余下的同例1。 $ S, S D. G8 k y* U& \6 [* d
3. 若程序主窗口完全出现后再有延迟窗口出现,你可以在主窗口出现,而延迟窗口还未出现之际强行叫出trw(ctrl+N) 或softice(ctrl+D),然后一步步走,直到你确定了延迟窗口出现的那行code. # d' O. d' k0 M7 F; i
4. 如程序没有被压缩、加壳。你可以用w32dasm等静态反汇编方法,在string reference中找到延迟窗口中的话,在这代码前下断点拦截。
! K' p4 @) k' ]0 M以上简单介绍了几种方法,不知对你是否有帮助。 9 u6 u. u$ `7 o q2 @* T
7、问:命令"bpx regqueryvalueexa if *(esp->8)>='Soft' do "d(esp->14)"我看不大懂,您能给讲一下吗?多谢。
2 L/ ~; L5 ^" U' M/ g答:这个指令是一个复合指令,因为存注册码的键值是Softkey,其名字在[esp+8]中,其值在[esp+14]中. 3 \/ f* P) p) |9 u% j. f" o
当其值等于或大于Soft(因为只允许4个字符,不能输全键名)时中断,就拦在读Softkey的那个Call.
* c* r- H0 {' t$ O) C! q$ l9 R否则每次程序call regqueryvalueexa时都会被拦.
0 r \, A n1 ^6 y9 V拦住后,显示[esp+14]的内容.至于详细用法,你可以参考softice的用户手册,其中会解释*,
6 S) ?8 R2 L& n6 V5 C6 p5 m, e->等内容的. 开始时只要照做,以后提高了再弄明白原理就可以了. % M1 U. _& z: p/ X3 Q! Y
8、问:为什么用W32DASM反汇编不能显示中文信息? . h r+ E* k- }( ~7 t
答:wdasm是这样的,你可以用十六进制编辑器查找中文改为英文后再反汇编. V- f/ C1 O) I" o7 F
9、问:请问如何修改TRW2000的字体颜色?
0 P1 p1 J- E x) C# ]答:在TRW2000命令下用ver blue。 2 V1 Q- K Y n5 @
10、问:介绍一下Launcher Generator补丁制作工具
7 V: ~) U g- q" S7 r答:LGen的优点在于它可以控制何时Patch. 在运行它生成的Loader后,会出现一个提示窗,当按下OK按钮后,它才对目标程序做Patch.用法很简单,而且界面是GUI的.在http://ringzer0.cjb.net(它的老家,Tools项下)可以下载或者其它破解工具站点找.
% b! Q" z, n, W3 e, s' Y$ w ]) o+ i11、问:我在用hiew改如下代码时:7 n9 ~1 t& r' ?
00469206 e877d5f9ff call 00406782
! ~! Y; B5 j* B, @! \: [0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx5 T5 t& m8 S% A" S+ Y
我想屏蔽掉第一行:是否用 nop指令?我试了试,但修改后,发现第二行 变成了: 00469207 f4 hlt 是否对程序有影响,修改时必须保证源字节数?
' ]5 [- @& m+ {6 H' w- u2 J答:当然有影响,你修改必须保证nop的字节=e877d5f9ff的字节:+ G' ~3 I: ?9 w7 `2 U3 O
( I5 C5 J; ], E0 X4 v00469206 e877d5f9ff call 00406782 这行要5个nop来填充即: 9090909090代替e877d5f9ff & K2 |2 P# X2 H% u; ^
你在hiew中连续改5行后,这一行就会又正常了0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx
6 G) V9 a# W9 ]: I12、问:我在破解时,追到一行这样的代码: * L1 f( {8 a6 j5 N1 L, J* N+ ~3 A* M9 s
00406582 0f84f1000000 je 000406679 3 d& R* x; K$ V; ^" T! B$ j |' ]
我想改变程序的方向,je改为jne后是否可以,如不是该怎样,请指教。
8 S, c( d$ \" S8 Z另,在win32dasm中,我想改反汇编后的代码,如何改?是否得用别的16位编辑器,怎么用?
3 d: E( u8 K T9 j以上两个问题,困惑了我很久,请各位多指教,不胜感激!!!!!!!
7 V1 \3 _, m* C3 p答:
- W) z, b0 I- M% U, N9 ]①00406582 0f84f1000000 je 000406679 + G; o& \7 M& U3 Q& O
你可在这一行,下A命令(进入小汇编状态),然后可输入你的正确的汇编代码,你在这可改为:jne 000406679 ! l! O: s4 ?- x3 p7 Y
但TRW2000 demo版,此命令不能用,你可用SOFTICE来完成这工作。 % @+ M+ e$ t" [$ o
但我推荐你可在这一行,在TRW2000或SOFTICE下命令:r fl z $ j0 p9 o* E& |& _: S3 v3 s
这样就可改变跳转指令。
2 n# u: W* e7 U' ^fl是标志寄存器,r命令修改此寄存器相关的值,具体参考SOFTICE手册和汇编书籍。
7 W0 x8 e4 Q: I+ ~$ D在win32dasm中不能改变程序代码,你可用16进制工具来完成,推荐用hiew来完成。
7 C4 `, V9 o: @+ |* B2 u②也可以在trw中,用鼠标移动到愈修改代码出,直接修改,如75变74,即jnz->jz3 E1 i% c4 m7 h; b
7 J9 X- l. r5 w! @③在trw中,下命令e adress [欲修改之代码] ( T% k3 _. n* N2 R
14、问:在汇编语言中,"[]"的用法?如:
8 B- f o# o! {2 u1 r- }1、push dword ptr [024c1100]
( J1 y% R: e8 i. f' ?2、cmp eax,[ebp+14] # W# Z1 i4 E! S+ {9 g
3、cmp byte ptr [eax],46
7 P3 O- ]# @6 b( ^7 ^3 y" s; C% D4、lea eax,[edx-02]
, O* c/ [8 l A# z) J! L6 c5、mov ecx,[edx+08] 7 O7 v$ y% _& i, }. {7 t" d! i
其中"[]"里的内容,什么时候表示的是值,什么时候表示的是地址,为什么?第4个是不是把"edx-02"的值作为地址送给eax???
. d' `) b9 W% a另一个问题是:我发现在soft-ice中,在寄存器区(即最上面的那个区,标志位下面)的右下脚有一个类似:"ds:xxxxxxxx=xxxxxxxx"的字样,时隐时现,并不断变化,不知是干什么用的,请指教,不胜感激!!!!!!!!
* t4 m0 q: r# J8 C& ~答:
7 V' _0 ?1 W) r①右下角显示的那个是当前指令要操作的内存的地址及内容 。9 V: \3 m" q, V" Q+ ^* q, n6 W# ?5 t
lea指令表示取有效地址,第4个是把"edx-02"的值送给eax。 . q$ B( |$ ?9 Z1 Q8 J
②; `0 q% @: m! K% K
1,压栈024c1100值的双字
6 ?8 u' H6 {' Y- |, r* o2,eax-ebp+14的有效值,不保留值,主要看标志位。 " N. `. ~1 y5 B: V: b% y/ p% r
3,字节型eax-46,看标志位 3 E' I2 v: [* k' k# {* i6 h2 H
4,把edx-02的有效值给eax ; V" I. E6 J0 g g: q
5,edx+8处值作为地址,此地址的值给ecx
6 g* h; ?8 M) ?, k, A15、问:能否推荐几本书? & o1 a6 u! n) A# F
答:
: l5 ?! L4 [$ q( h3 O* X* a1、《Win95系统编程奥秘》在这里:http://www.multimania.com/mpietreks2/
1 U) R+ P8 Q4 g* w' ]5 C6 X2、《Thinking in C++》:http://www.bruceeckel.com/ThinkingInCPP2e.html
8 U5 h; V, X. |, Z$ [( l8 T3、《Art of ASM》简直是汇编大全,http://win32asm.cjb.net或 http://personales.com/eeuu/arizona/Aesculapius/ebooks.html 或http://huizen.dds.nl/~books/。 1 v- Y* c1 v( a L
4、 http://proxy.spaceproxy.com/-_-http://personales.com/eeuu/arizona/Aesculapius/files.html $ I; _7 C \1 G4 ]
5、 / f! F8 x$ \7 L% Y; W7 p, g
16、问:我是初学者。用softice拦下后。f12转到那个领空。但那个领空有什么特征?怎样看?我不明白。 以hiew为例。我试了很多次。f12从头按到尾都看不到哪里标着hiew的。 9 l( c; \7 `6 e' W; u* o; p. d
答:你换个图形界面的windows程序试试,不要用hiew,f12并不是转到那个领空,F12是跳出子程序,如: 3 S7 |/ y0 ` q# g+ D
mov eax,1 6 O: [$ n/ d/ u0 o! v4 k2 P2 a
inc eax $ y! h) ^) j9 b. y$ g
ret---------你在这段程序中按F12,就跳出此子程序,从RET处返回到上一程序中去。你如多按F12就等于跳出多个子程序,其实你用F10也能达到这一目的,F10来到inc eax,再按F10,执行RET一行,结果和你按F12一样的,只是F12更省事。
9 S- x1 n7 g5 |, _) ?领空是一形象说法,说明SOFTICE目前调试的程序代码是哪个程序的,一般会在SOFTICE屏幕下的三分之一处会有一光条线,中间有文件名,如:
# u) h* N) `# `. b9 [- S------------------------ACDSEE!CODE+???------------------------ ! Y4 J) b) N# v1 l
这表明目前SOFTICE是在ACDSEE程序的代码处,是ACDSEE.EXE不是ACDSEE.DLL就不知了,要具体分析
: N0 |1 @1 Z* G' x+ V- A& s E! s. d
% x+ U, q6 X: a. m. b* Z' U' x |