|
软件破解常见问题 * d. H9 x2 q, G
来源:看雪学院
9 @/ Z/ Q7 I: a' {" O' f9 t- t( e8 b: u9 n( v
" E2 v3 e* S8 m% d# \
& W4 I0 U! p7 A5 v y0 l6 h
2 R) ~, T4 O: P$ i8 [: `0 A| 我系统是win9x,每次SOFTICE都自动装载,在windows下一按CTRL+D自动激活它,有什么办法解决? |
7 m6 N7 x. N( ~0 U
6 c L4 i( y- j* d| 这是SOFTICE安装时默认时改变了AUTOEXEC.BAT,自动加了一行wince.exe。每次系统启动时自动运行AUTOEXEC.BAT时将SOFTICE装载,你只要去掉这一行,问题就解决了。在你需要用SOFTICE时,在纯DOS环境下,在SOFTICE目录执行winice.exe文件即可装载。你也可自建一批处理命令来在纯DOS下装载SOFTICE。 |
' B5 Q- P% z5 N5 P6 |
3 B/ j2 `7 p4 ~; X( @ L) M
3 z; N( V6 m* ?: { Y2 }9 o" L
# R+ M$ R7 t. N! J/ B" Z3 v! L5 J+ A" ~2 `) K* ^
| 2、如何知道软件是被什么加的密? | : M* k& Q, ~% Z2 B
( u1 X: K( Y+ L4 l, B& C, ?! x( m
| 用TYP或GetTyp侦测文件类型或用procdump查看文件的section就可以知道用什么加密 . | ' k$ L- L) A$ X$ J$ F9 ^
, a1 N5 X {; x# X7 s" P
. L }9 T$ Z& T2 b8 }0 J- m% |, ^: v; q" ? J: ?- C. t# y8 j
! t/ {# y& _8 I' j# C/ T| 3、经常看到脱壳时下命令bpx loadlibrarya, 下命令后SOFTICE告知未定义,我的SOFTICE怎么拦不住? |
" e1 a; X/ [) Q+ Q' y- z# b; ?5 D# M l- U# q! O% b( h
| 在 softice 的目录下有一个文件叫 winice.dat 6 g3 N5 M* Z" e" V# g: y
其实是个文本文件,将这文件的最后几行把他改成如下 :" A& Q6 S" w) W5 H& c
前面有分号的就是注解,把后面有 *32.dll 的方号去掉就行了
7 l+ x9 ]& f# w, _顺便加上 vb5, vb6 的 dll, 也可拦 vb 的 function 了 ! a$ `1 M( _; k" z/ W
EXP=c:\windows\system\kernel32.dll + \2 M8 `+ S5 H L/ X: |( X
EXP=c:\windows\system\user32.dll
" V. }' D9 v5 PEXP=c:\windows\system\gdi32.dll
; M! C8 ~' ]1 v9 |& A8 {' B, vEXP=c:\windows\system\comdlg32.dll 9 z, x! Y0 Y `+ U
EXP=c:\windows\system\shell32.dll % j" [9 G- |3 H/ P4 S i; L
EXP=c:\windows\system\advapi32.dll $ g2 _" Q" K0 S: A, a) P! h
EXP=c:\windows\system\shell232.dll
7 }4 h2 {6 X! \8 t% wEXP=c:\windows\system\comctl32.dll
3 Y5 @0 @' G+ G" g;EXP=c:\windows\system\crtdll.dll
6 `: [+ K3 W# c$ B;EXP=c:\windows\system\version.dll
' V" y. b* N7 yEXP=c:\windows\system\netlib32.dll
+ c1 O6 M6 U; w$ K, `. `;EXP=c:\windows\system\msshrui.dll z6 Z& E! @1 N
EXP=c:\windows\system\msnet32.dll 8 l. U2 P# i) _- i1 G6 i
EXP=c:\windows\system\mspwl32.dll
+ Z% w |- m. w) a' j;EXP=c:\windows\system\mpr.dll
$ g+ y3 K6 ~. F; Q+ \* Rexp=c:\soft\95logo3\vb40032.dll . r: `% S* F$ k- _2 N
exp=c:\windows\system\msvbvm50.dll
7 e# a z" D4 M6 R# Oexp=c:\windows\system\msvbvm60.dll | 4 K. a& R4 a7 ~# n" X" W" f0 C2 @( G" j
4、我在调试软件时,经常看到寄存器是EAX、EBX、ECX或AX、BX、CX等,这是怎么回事?
! f) ^9 {& _5 w因为win9x系统是一个16位和32位混合的操作系统,在这系统上能运行16位和32位的应用软件,所以你如调试不同位数的软件时,在寄存器上就反应出来了,EAX、EBX、ECX等是32位寄存器,而AX、BX、CX等是来表示16位寄存器。
& T# I N5 K0 n/ E9 v% p. X5、如何在TRW2000下拦截VB运行库中的函数? V. Q, i. ?2 e5 U% H* s1 I
你要用TRW2000拦截Vb程序,需要用1.15版以上,将相应的VB运行库复制到TRW2000的DLL目录下,你也可用此法装载其它DLL文件。
; m$ L$ K3 g+ S% X% A) h* Z2 m6、问:我只会用bpx hmemcpy来下断点,也看过看雪先生的教学文章,但对其他断点一直是一知半解,所以现在问题来了。 某些程序并没有输入注册码的地方,只在开始运行时弹出一个对话框,告诉你还剩多少天了,有延迟,这种软件一般怎么破解。如:LView pro、PaintShop pro等 ) U! ^7 |' A$ V; ^! J! |1 S
答:
7 J* [! J0 u% Y$ b7 ?程序像一条竹竿,断点就是上面的结(当然是我们设定的)。选择一个好的断点有助于我们少走弯路。其实你说的情况,没有注册窗口,只有nag. 此时可能仍可以用bpx hmemcpy。此外,你可以采用其它方法。 + O7 Z7 x% M, W' M: B7 W
以paint shop pro 5.01 evaluation为例。你用bpx hmemcpy是拦不住的。但还可以用如下几种方法。
$ Y0 e/ c7 [8 A/ G- p4 o4 a9 Z1. 当nag窗口出现后,激活trw or softice,下断点bpx lockmytask(或bpx destroywindow),回到psp.exe,按下start按钮后程序就会阻断。再用F10 或 F12走。直到你见到如下结构。
8 Z. e+ H: s6 M" E; Mcs:******** call ****** <-- 用F10带过这一步后会有延迟画面。 : h" `7 r+ _1 ?/ V$ W! L
cs:******** test al, al <-- 此时你在这行。程序确定你按下的是何按钮 ' _4 I) ]; C2 a& F" c
这时按下F6,你就可以找到这个call前的code,并在其上下断点。若在这之前有跳转,如jz,jnz等,你就可以想办法使nag窗口不出现。
2 A# K+ p: b# y1 P1 R- t4 s2. 在这个nag窗口中,你会见到一些"版权宣言"及"你已经试用了*天,还有**天可以用"等的话。将之抄下,叫出trw 或softice,用
* k" u/ `/ ~5 }3 F4 L5 ~) hs 0 ffffffff "抄下的话"(trw) 或 5 L: _: ?" S1 J$ p1 z6 o3 e
s 0 L ffffffff "抄下的话"(SOFTICE)找到其调用的地址。下断点 bpm "找到的地址"来拦截,余下的同例1。 0 q. s3 Y9 k) H5 C- c# }
3. 若程序主窗口完全出现后再有延迟窗口出现,你可以在主窗口出现,而延迟窗口还未出现之际强行叫出trw(ctrl+N) 或softice(ctrl+D),然后一步步走,直到你确定了延迟窗口出现的那行code. 9 [2 G0 ~! D9 `" M0 V1 P
4. 如程序没有被压缩、加壳。你可以用w32dasm等静态反汇编方法,在string reference中找到延迟窗口中的话,在这代码前下断点拦截。
% P- w% r& Q/ w5 z" \+ a- q以上简单介绍了几种方法,不知对你是否有帮助。
% n0 b1 i( n; S0 r0 q7、问:命令"bpx regqueryvalueexa if *(esp->8)>='Soft' do "d(esp->14)"我看不大懂,您能给讲一下吗?多谢。
6 Q" B+ O$ D- @0 u3 o ~9 n# z答:这个指令是一个复合指令,因为存注册码的键值是Softkey,其名字在[esp+8]中,其值在[esp+14]中.
5 X- |2 j8 P% _ k当其值等于或大于Soft(因为只允许4个字符,不能输全键名)时中断,就拦在读Softkey的那个Call. * X0 @8 B A; }! h c. X
否则每次程序call regqueryvalueexa时都会被拦.
+ c) y/ Y2 v4 c* i: U拦住后,显示[esp+14]的内容.至于详细用法,你可以参考softice的用户手册,其中会解释*, & I7 j- Y& v4 d$ O( d6 W4 r( S! |% e
->等内容的. 开始时只要照做,以后提高了再弄明白原理就可以了. ' P/ q3 l6 _0 W! R- ~: P- a
8、问:为什么用W32DASM反汇编不能显示中文信息?
G8 z0 T( ~$ G) W+ k答:wdasm是这样的,你可以用十六进制编辑器查找中文改为英文后再反汇编.
% l+ v+ L) U* F+ o0 W! q9、问:请问如何修改TRW2000的字体颜色?
" I( k. T4 t' l, |( E; A3 A答:在TRW2000命令下用ver blue。 . V0 r' \! ~6 ~, s: G+ _8 c% J' s
10、问:介绍一下Launcher Generator补丁制作工具 ) }' S k2 r7 ~0 c# J
答:LGen的优点在于它可以控制何时Patch. 在运行它生成的Loader后,会出现一个提示窗,当按下OK按钮后,它才对目标程序做Patch.用法很简单,而且界面是GUI的.在http://ringzer0.cjb.net(它的老家,Tools项下)可以下载或者其它破解工具站点找.
# z1 A+ O# Z* m' A11、问:我在用hiew改如下代码时:$ v: k f. V6 Y0 @( {) h! Q6 _
00469206 e877d5f9ff call 00406782
$ }3 Z8 H4 a+ @* o) a' K, K0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx N- y) q& q7 d3 {# l
我想屏蔽掉第一行:是否用 nop指令?我试了试,但修改后,发现第二行 变成了: 00469207 f4 hlt 是否对程序有影响,修改时必须保证源字节数?
# A+ v2 f9 t4 _$ g* w答:当然有影响,你修改必须保证nop的字节=e877d5f9ff的字节:/ `' M4 X- v( I% X, ?
5 M) U3 Z4 P8 e7 n9 B# g
00469206 e877d5f9ff call 00406782 这行要5个nop来填充即: 9090909090代替e877d5f9ff , u2 `2 f5 ]+ D4 B( n S ~6 ]$ ~( Y
你在hiew中连续改5行后,这一行就会又正常了0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx
5 e J! W: T$ v# }12、问:我在破解时,追到一行这样的代码: . h% h3 G. _& [& L& T0 J$ U
00406582 0f84f1000000 je 000406679 4 n1 J' t4 g7 J* K6 W' Y
我想改变程序的方向,je改为jne后是否可以,如不是该怎样,请指教。 " l% p& A2 D. U, z# E0 n
另,在win32dasm中,我想改反汇编后的代码,如何改?是否得用别的16位编辑器,怎么用? 8 V% P4 R) g% H, s! u4 ^6 V0 U
以上两个问题,困惑了我很久,请各位多指教,不胜感激!!!!!!!
' `6 e! W7 N4 o4 e. F答: 2 @1 O; q& R" F, r* W, b
①00406582 0f84f1000000 je 000406679 1 B. k) u9 w1 ^
你可在这一行,下A命令(进入小汇编状态),然后可输入你的正确的汇编代码,你在这可改为:jne 000406679 - r! ~: H5 J2 `+ s0 A
但TRW2000 demo版,此命令不能用,你可用SOFTICE来完成这工作。
& ^ T) R1 b c但我推荐你可在这一行,在TRW2000或SOFTICE下命令:r fl z
- w, Z0 e! V" [$ B! w# O* j* ^( z% W这样就可改变跳转指令。 ' N8 v- |# ~3 M) [% P5 Z* m# H
fl是标志寄存器,r命令修改此寄存器相关的值,具体参考SOFTICE手册和汇编书籍。 1 S5 m, T9 M5 ^' x
在win32dasm中不能改变程序代码,你可用16进制工具来完成,推荐用hiew来完成。
2 I _% \9 { u& b \3 E②也可以在trw中,用鼠标移动到愈修改代码出,直接修改,如75变74,即jnz->jz
6 D- x7 i: ^3 N( W. [
5 J# k4 X8 U @3 ^9 i. D# D- @) u③在trw中,下命令e adress [欲修改之代码]
7 G+ l% p8 z2 |- |- c14、问:在汇编语言中,"[]"的用法?如: ) y) p7 ~; T5 s; d3 n" g
1、push dword ptr [024c1100]
5 X( c3 J# I/ Z3 A) {2、cmp eax,[ebp+14] " D8 C. J$ i6 q" M( |& D8 A$ Q! i Z. {9 _
3、cmp byte ptr [eax],46 5 i; H% {/ ~; r2 J8 W5 H% d c
4、lea eax,[edx-02]
/ _9 Q1 K5 f. ?0 T% T1 g5、mov ecx,[edx+08] # p5 i d5 v+ [* K* V
其中"[]"里的内容,什么时候表示的是值,什么时候表示的是地址,为什么?第4个是不是把"edx-02"的值作为地址送给eax???
1 N, R: e: Z" J5 T' @& C9 s0 s4 Q另一个问题是:我发现在soft-ice中,在寄存器区(即最上面的那个区,标志位下面)的右下脚有一个类似:"ds:xxxxxxxx=xxxxxxxx"的字样,时隐时现,并不断变化,不知是干什么用的,请指教,不胜感激!!!!!!!! $ K% _$ S ~: G
答: 2 S: a" j% c1 _8 }& W
①右下角显示的那个是当前指令要操作的内存的地址及内容 。* o7 a) o5 h; _6 Y
lea指令表示取有效地址,第4个是把"edx-02"的值送给eax。 , d, ]6 r) x1 A
②; ]. j) c' A1 T, b' m: {' j
1,压栈024c1100值的双字
9 E" n# W- h, A T3 u% J2 Y2,eax-ebp+14的有效值,不保留值,主要看标志位。
9 t: u9 ^9 h) i; j4 l& E3,字节型eax-46,看标志位
) S( r; p2 u6 C, A! q4,把edx-02的有效值给eax 7 w0 p+ w/ u0 H" S3 z" y& P4 ]3 h- \" [: v
5,edx+8处值作为地址,此地址的值给ecx ) U8 I" L* n- n
15、问:能否推荐几本书? + [) U+ Q/ _ r F( B
答: " w. D7 k1 l: V8 j) D
1、《Win95系统编程奥秘》在这里:http://www.multimania.com/mpietreks2/ : A( j8 u, }( F$ } g6 ~
2、《Thinking in C++》:http://www.bruceeckel.com/ThinkingInCPP2e.html ( x- E6 v+ S! B8 m
3、《Art of ASM》简直是汇编大全,http://win32asm.cjb.net或 http://personales.com/eeuu/arizona/Aesculapius/ebooks.html 或http://huizen.dds.nl/~books/。 8 r* Y2 a% }/ n
4、 http://proxy.spaceproxy.com/-_-http://personales.com/eeuu/arizona/Aesculapius/files.html
/ T- F L& ?" J5、
: I5 F- t+ m L8 |+ I9 b. ]5 @( p16、问:我是初学者。用softice拦下后。f12转到那个领空。但那个领空有什么特征?怎样看?我不明白。 以hiew为例。我试了很多次。f12从头按到尾都看不到哪里标着hiew的。 & b, n/ q& ~ w3 N! F
答:你换个图形界面的windows程序试试,不要用hiew,f12并不是转到那个领空,F12是跳出子程序,如: 6 l9 ]1 `& D; r
mov eax,1 8 [, ]" ^9 N- m4 e+ T# m/ H
inc eax
3 U1 `% @6 Y" z" ~: }ret---------你在这段程序中按F12,就跳出此子程序,从RET处返回到上一程序中去。你如多按F12就等于跳出多个子程序,其实你用F10也能达到这一目的,F10来到inc eax,再按F10,执行RET一行,结果和你按F12一样的,只是F12更省事。
/ Y- M. j. [* {9 K; ~: w! P领空是一形象说法,说明SOFTICE目前调试的程序代码是哪个程序的,一般会在SOFTICE屏幕下的三分之一处会有一光条线,中间有文件名,如: " M3 |* l7 W+ V8 J q9 }) a5 t4 j: A
------------------------ACDSEE!CODE+???------------------------
0 g4 Q- s% }+ w' O+ o这表明目前SOFTICE是在ACDSEE程序的代码处,是ACDSEE.EXE不是ACDSEE.DLL就不知了,要具体分析
2 U! J0 m6 X) y! ]/ T) m7 @3 A" X5 H) Z5 V6 K6 z
|