|
软件破解常见问题 1 C; ?- \( Q- ~3 S _
来源:看雪学院 & ]2 Q3 t, H e
" S7 x, o6 m% q, T8 ? ( r, H# _' v. I- Y
! u8 S( o" x% h. B$ t' @
0 J8 B! Z8 h o) I" J3 ?3 }
| 我系统是win9x,每次SOFTICE都自动装载,在windows下一按CTRL+D自动激活它,有什么办法解决? | & c, j! i3 L$ z: Z
# V& ^' ?$ T! ?$ N! l| 这是SOFTICE安装时默认时改变了AUTOEXEC.BAT,自动加了一行wince.exe。每次系统启动时自动运行AUTOEXEC.BAT时将SOFTICE装载,你只要去掉这一行,问题就解决了。在你需要用SOFTICE时,在纯DOS环境下,在SOFTICE目录执行winice.exe文件即可装载。你也可自建一批处理命令来在纯DOS下装载SOFTICE。 |
% {: O1 q- B- }$ f8 \! A% L
/ C. o; H' b" n# N9 a+ ^. i4 g
; n: W0 W5 p) b
$ e1 ?. v: A2 N# _
+ h6 V7 f- d5 R| 2、如何知道软件是被什么加的密? | + _* H! K6 B+ U8 X
5 q. E% b; j0 d2 I/ ?* \+ g| 用TYP或GetTyp侦测文件类型或用procdump查看文件的section就可以知道用什么加密 . | 2 d6 h9 p% O$ L8 U
: F5 H* l/ }; \2 `' I1 H3 r; j
* n: U$ W! s1 K- D: W9 S7 G" T0 M0 b$ r) |0 ?2 u
- h/ F# v2 C2 V) \* @5 H- m5 n| 3、经常看到脱壳时下命令bpx loadlibrarya, 下命令后SOFTICE告知未定义,我的SOFTICE怎么拦不住? | ' k9 e* z, @# U& p8 n
1 ~3 a# r4 _, P/ d% }7 _$ v6 u
| 在 softice 的目录下有一个文件叫 winice.dat ) y8 M' \1 w; x# ^
其实是个文本文件,将这文件的最后几行把他改成如下 :' I- [" Z) ~9 k1 B) B
前面有分号的就是注解,把后面有 *32.dll 的方号去掉就行了
5 I* m; a! q# _3 c9 ^$ M: y, V顺便加上 vb5, vb6 的 dll, 也可拦 vb 的 function 了
! M1 P, l3 t! k# U5 F EXP=c:\windows\system\kernel32.dll
( U9 v a$ Q" G2 AEXP=c:\windows\system\user32.dll
) H5 w. t u* g6 D: JEXP=c:\windows\system\gdi32.dll ' B D, o2 n9 ^
EXP=c:\windows\system\comdlg32.dll : T# U; X% t% a+ x ~
EXP=c:\windows\system\shell32.dll
6 q& z; p3 t; F5 W g* @EXP=c:\windows\system\advapi32.dll
. t: X, d0 r- t4 s4 BEXP=c:\windows\system\shell232.dll 4 O+ P" a2 N! Q5 S5 b5 L8 W+ B
EXP=c:\windows\system\comctl32.dll
! } D% L/ O6 B" d. @: z3 U+ G;EXP=c:\windows\system\crtdll.dll 2 z$ Y0 l! S, @. s
;EXP=c:\windows\system\version.dll
4 ]7 ~+ L4 c! B1 Y# N( j- A$ ~EXP=c:\windows\system\netlib32.dll 0 \$ z- m6 ]# P, ]; U! `0 M
;EXP=c:\windows\system\msshrui.dll + y* n7 N1 L5 i, X4 h
EXP=c:\windows\system\msnet32.dll
+ Q, g4 V+ o6 d* r. e9 S5 @' m/ mEXP=c:\windows\system\mspwl32.dll $ J# o; c& K4 a1 r+ C/ R
;EXP=c:\windows\system\mpr.dll 2 M+ z' p2 d# C+ E
exp=c:\soft\95logo3\vb40032.dll ! N I2 i# V% E! r& U
exp=c:\windows\system\msvbvm50.dll 0 U, W: H7 t7 q P+ H
exp=c:\windows\system\msvbvm60.dll | 5 z1 Q d* N0 ?
4、我在调试软件时,经常看到寄存器是EAX、EBX、ECX或AX、BX、CX等,这是怎么回事?
/ {( u) E7 X' i; Q( ?( R因为win9x系统是一个16位和32位混合的操作系统,在这系统上能运行16位和32位的应用软件,所以你如调试不同位数的软件时,在寄存器上就反应出来了,EAX、EBX、ECX等是32位寄存器,而AX、BX、CX等是来表示16位寄存器。 : t4 x0 b- f8 R! X* w& a
5、如何在TRW2000下拦截VB运行库中的函数? " o# A' T; G; L) B. u" f6 p4 |- v
你要用TRW2000拦截Vb程序,需要用1.15版以上,将相应的VB运行库复制到TRW2000的DLL目录下,你也可用此法装载其它DLL文件。 9 C" h; H! C, K0 Z" S
6、问:我只会用bpx hmemcpy来下断点,也看过看雪先生的教学文章,但对其他断点一直是一知半解,所以现在问题来了。 某些程序并没有输入注册码的地方,只在开始运行时弹出一个对话框,告诉你还剩多少天了,有延迟,这种软件一般怎么破解。如:LView pro、PaintShop pro等 4 b- q5 t0 C' M, H! @
答:9 p* ~" x* \# F+ O7 w# J: Q7 H9 l
程序像一条竹竿,断点就是上面的结(当然是我们设定的)。选择一个好的断点有助于我们少走弯路。其实你说的情况,没有注册窗口,只有nag. 此时可能仍可以用bpx hmemcpy。此外,你可以采用其它方法。 : k- G1 @' n! M4 P4 x6 m2 K, g
以paint shop pro 5.01 evaluation为例。你用bpx hmemcpy是拦不住的。但还可以用如下几种方法。
- N) e1 v7 W1 }; |7 Z1. 当nag窗口出现后,激活trw or softice,下断点bpx lockmytask(或bpx destroywindow),回到psp.exe,按下start按钮后程序就会阻断。再用F10 或 F12走。直到你见到如下结构。 2 U9 I/ x2 V$ R* f, ^$ t
cs:******** call ****** <-- 用F10带过这一步后会有延迟画面。 4 P3 N% e% U' p0 @
cs:******** test al, al <-- 此时你在这行。程序确定你按下的是何按钮
: z. [' q5 m+ u% y4 u这时按下F6,你就可以找到这个call前的code,并在其上下断点。若在这之前有跳转,如jz,jnz等,你就可以想办法使nag窗口不出现。 * o3 I. A5 i8 f9 N; u( G- W" l; M
2. 在这个nag窗口中,你会见到一些"版权宣言"及"你已经试用了*天,还有**天可以用"等的话。将之抄下,叫出trw 或softice,用
" ?+ [. p/ ~& k" h, Hs 0 ffffffff "抄下的话"(trw) 或
! x/ M. e% h: D. i0 ~s 0 L ffffffff "抄下的话"(SOFTICE)找到其调用的地址。下断点 bpm "找到的地址"来拦截,余下的同例1。 ( n* x/ K# l) f4 M% N) z7 s! u0 T8 X
3. 若程序主窗口完全出现后再有延迟窗口出现,你可以在主窗口出现,而延迟窗口还未出现之际强行叫出trw(ctrl+N) 或softice(ctrl+D),然后一步步走,直到你确定了延迟窗口出现的那行code. - ]; B9 W9 Q5 g. q- @
4. 如程序没有被压缩、加壳。你可以用w32dasm等静态反汇编方法,在string reference中找到延迟窗口中的话,在这代码前下断点拦截。
! H" _, h; B. Y9 k5 d0 j+ U" ~以上简单介绍了几种方法,不知对你是否有帮助。
1 M9 S9 f2 A! H2 O3 N/ t6 ]7、问:命令"bpx regqueryvalueexa if *(esp->8)>='Soft' do "d(esp->14)"我看不大懂,您能给讲一下吗?多谢。 5 h& R' e% Z+ I
答:这个指令是一个复合指令,因为存注册码的键值是Softkey,其名字在[esp+8]中,其值在[esp+14]中.
% t9 X- E4 r6 |" `- r1 n/ [当其值等于或大于Soft(因为只允许4个字符,不能输全键名)时中断,就拦在读Softkey的那个Call.
9 g2 i$ V5 {0 t. h L! L" e& c2 g否则每次程序call regqueryvalueexa时都会被拦. 6 M6 r8 Z" v I. X; ]' S
拦住后,显示[esp+14]的内容.至于详细用法,你可以参考softice的用户手册,其中会解释*, , X& E& v% W2 I T" c& X' N
->等内容的. 开始时只要照做,以后提高了再弄明白原理就可以了.
1 } u9 q. v5 h* [9 {3 `! t. i1 u8、问:为什么用W32DASM反汇编不能显示中文信息?
& J& ~9 _9 o' F4 |/ U* \答:wdasm是这样的,你可以用十六进制编辑器查找中文改为英文后再反汇编. . D2 I7 n7 ~+ F4 k
9、问:请问如何修改TRW2000的字体颜色? ; x% J7 q K* Q3 B- ]
答:在TRW2000命令下用ver blue。 & M3 h8 Z1 U& k$ n8 c0 E0 w
10、问:介绍一下Launcher Generator补丁制作工具 : @: p1 C# b5 J2 `3 ?( a+ {
答:LGen的优点在于它可以控制何时Patch. 在运行它生成的Loader后,会出现一个提示窗,当按下OK按钮后,它才对目标程序做Patch.用法很简单,而且界面是GUI的.在http://ringzer0.cjb.net(它的老家,Tools项下)可以下载或者其它破解工具站点找. 5 a t1 R J+ k
11、问:我在用hiew改如下代码时:1 n* T$ a4 I% I2 ~1 w
00469206 e877d5f9ff call 00406782 6 c, w& D+ q* F3 U" O4 v2 K) J% j" m2 G
0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx
$ x/ d" b' \; a: R0 C7 X$ A+ b5 r7 d我想屏蔽掉第一行:是否用 nop指令?我试了试,但修改后,发现第二行 变成了: 00469207 f4 hlt 是否对程序有影响,修改时必须保证源字节数?
. [3 w K6 n. w# R- s5 n答:当然有影响,你修改必须保证nop的字节=e877d5f9ff的字节:
# g3 {! q& V$ ^- E1 c9 m/ H& ~' }3 ? / l3 x. d. P# m% q0 F0 ^
00469206 e877d5f9ff call 00406782 这行要5个nop来填充即: 9090909090代替e877d5f9ff 5 {3 S' f1 t; X# ?! m' e- J
你在hiew中连续改5行后,这一行就会又正常了0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx $ \8 g5 U- @! u8 j
12、问:我在破解时,追到一行这样的代码:
4 m* }0 m! s3 u2 a00406582 0f84f1000000 je 000406679 ' X: o2 t" d& h* @& H- o5 ~, J# V
我想改变程序的方向,je改为jne后是否可以,如不是该怎样,请指教。 % |8 Y, ^) t. [; m }9 J
另,在win32dasm中,我想改反汇编后的代码,如何改?是否得用别的16位编辑器,怎么用? , |* O4 V1 G6 N! p# Y' O; m, \
以上两个问题,困惑了我很久,请各位多指教,不胜感激!!!!!!! 0 I/ _+ [" A8 V+ b
答: # D& r4 o( [8 z H' i' P
①00406582 0f84f1000000 je 000406679
7 `. t, }/ ^, x1 Q6 w7 B) H你可在这一行,下A命令(进入小汇编状态),然后可输入你的正确的汇编代码,你在这可改为:jne 000406679 3 J7 _2 k% i2 q& O; y9 c( D5 M5 g
但TRW2000 demo版,此命令不能用,你可用SOFTICE来完成这工作。
% e* V( g$ I' S- ~4 x但我推荐你可在这一行,在TRW2000或SOFTICE下命令:r fl z
& a' _! ^ B( o% d) P3 E2 z% h: v这样就可改变跳转指令。 - ~3 H! X- G9 ^0 `% \2 b {8 W
fl是标志寄存器,r命令修改此寄存器相关的值,具体参考SOFTICE手册和汇编书籍。
4 I7 S' |. @ X- f8 @在win32dasm中不能改变程序代码,你可用16进制工具来完成,推荐用hiew来完成。
6 L/ M# Q+ v! p* X% w9 O$ }②也可以在trw中,用鼠标移动到愈修改代码出,直接修改,如75变74,即jnz->jz
8 }$ X( a5 s, ~4 `9 }% } ) H% D8 Q$ q/ `
③在trw中,下命令e adress [欲修改之代码] 5 d- K+ l A# [$ v: h
14、问:在汇编语言中,"[]"的用法?如:
* g5 L( @* { D1、push dword ptr [024c1100] ! e* J0 |% s" _# Q8 O" q4 J( ?
2、cmp eax,[ebp+14] ; t: m! e8 M4 \6 W* y
3、cmp byte ptr [eax],46
/ m0 h7 K+ o) }# n2 }$ N4、lea eax,[edx-02] d U1 f- i( ]/ }* ?7 |
5、mov ecx,[edx+08] 2 r2 N& G5 ?7 `( @+ M% l
其中"[]"里的内容,什么时候表示的是值,什么时候表示的是地址,为什么?第4个是不是把"edx-02"的值作为地址送给eax???
% G; [8 `3 v0 K. ]5 J& R$ @6 Z另一个问题是:我发现在soft-ice中,在寄存器区(即最上面的那个区,标志位下面)的右下脚有一个类似:"ds:xxxxxxxx=xxxxxxxx"的字样,时隐时现,并不断变化,不知是干什么用的,请指教,不胜感激!!!!!!!! ; u4 m2 A, E. C
答: 1 j9 ^5 \0 R9 f6 f3 } \$ n: d
①右下角显示的那个是当前指令要操作的内存的地址及内容 。
* h2 h# B' D% m: B2 Plea指令表示取有效地址,第4个是把"edx-02"的值送给eax。
+ T/ v% q6 }, o/ t* C. a( ?②+ s* Q! k9 T$ D
1,压栈024c1100值的双字
# x8 B4 p5 f a& ]2,eax-ebp+14的有效值,不保留值,主要看标志位。
3 @6 i8 E u# k V0 `. {: i3 D: c3,字节型eax-46,看标志位
$ |7 x$ c; J+ |0 C. p8 w/ L# k4,把edx-02的有效值给eax 0 S0 Q- e! Z' [" a& ~
5,edx+8处值作为地址,此地址的值给ecx % j1 D% [! V8 P3 L) C0 ^
15、问:能否推荐几本书? 1 u, E4 @# J& }$ y
答: % z; _) h/ S6 G, H5 I2 ~5 R3 t
1、《Win95系统编程奥秘》在这里:http://www.multimania.com/mpietreks2/
% j. u2 w1 K7 R1 K. e3 s# j: C2、《Thinking in C++》:http://www.bruceeckel.com/ThinkingInCPP2e.html $ @* u& l) e t; ~+ F: z
3、《Art of ASM》简直是汇编大全,http://win32asm.cjb.net或 http://personales.com/eeuu/arizona/Aesculapius/ebooks.html 或http://huizen.dds.nl/~books/。
# w# e V/ Z' ^4 v; x' E4、 http://proxy.spaceproxy.com/-_-http://personales.com/eeuu/arizona/Aesculapius/files.html
! j; ~7 k) s g' @% I+ r5、
+ g; |/ @" Y F6 O2 X# e16、问:我是初学者。用softice拦下后。f12转到那个领空。但那个领空有什么特征?怎样看?我不明白。 以hiew为例。我试了很多次。f12从头按到尾都看不到哪里标着hiew的。
( [- N; \' ~% Y6 t! |! [) I答:你换个图形界面的windows程序试试,不要用hiew,f12并不是转到那个领空,F12是跳出子程序,如:
& h9 I% n3 P6 W1 Xmov eax,1
1 i9 f1 h2 [* G/ x" D1 ?* X3 k& C- ninc eax
3 b- I6 o" N) {; N: C/ V+ C& Gret---------你在这段程序中按F12,就跳出此子程序,从RET处返回到上一程序中去。你如多按F12就等于跳出多个子程序,其实你用F10也能达到这一目的,F10来到inc eax,再按F10,执行RET一行,结果和你按F12一样的,只是F12更省事。
. |4 R/ J7 C# n- }& u3 G7 v领空是一形象说法,说明SOFTICE目前调试的程序代码是哪个程序的,一般会在SOFTICE屏幕下的三分之一处会有一光条线,中间有文件名,如: : x7 @$ H% F4 w/ V: I
------------------------ACDSEE!CODE+???------------------------
8 B9 j: ]! j, c% W$ }& W/ i6 P这表明目前SOFTICE是在ACDSEE程序的代码处,是ACDSEE.EXE不是ACDSEE.DLL就不知了,要具体分析
0 \0 t( L9 t0 a
/ K7 b! b8 p' o) h | 
IP卡
狗仔卡
发表于 2005-3-20 13:50
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
