|
来源:看雪学院 1 D! m( D+ b% Q' o8 w* l. F& ^
1 D. s! A$ F# {* @2 {$ t' {+ r) V: R
/ P+ A) ~/ ], i2 _" m- v8 a2 y
: G- M9 q: A" ^* ^. \- m3 Y! L" M7 {) r! h: a3 ?& s8 V
| 我系统是win9x,每次SOFTICE都自动装载,在windows下一按CTRL+D自动激活它,有什么办法解决? |
! O/ B* q7 j" b/ E$ ?$ x- R; u" r4 @
) L. K; w- A, g* M4 J5 O| 这是SOFTICE安装时默认时改变了AUTOEXEC.BAT,自动加了一行wince.exe。每次系统启动时自动运行AUTOEXEC.BAT时将SOFTICE装载,你只要去掉这一行,问题就解决了。在你需要用SOFTICE时,在纯DOS环境下,在SOFTICE目录执行winice.exe文件即可装载。你也可自建一批处理命令来在纯DOS下装载SOFTICE。 |
' b4 ]7 k- c4 `- J
) b7 O' A3 F8 k: I4 O. X# r f6 ~3 p' Z: b7 P8 Z3 T
: j- x8 |" ^3 H5 B
8 H; U' D* C: P( e; l- Y| 2、如何知道软件是被什么加的密? | 7 }5 j6 K: S; R8 Z
9 a0 m6 L+ P i1 y9 G| 用TYP或GetTyp侦测文件类型或用procdump查看文件的section就可以知道用什么加密 . | " Q6 A9 P# E% j0 _. ], l* f
3 K/ |! z) [) w) {- w1 ?2 ^' c* C2 N6 {0 i' K& h( e
7 X8 d9 F+ \& B, F- N# O
% m& [! k8 d$ V2 i1 J4 b# d5 y
| 3、经常看到脱壳时下命令bpx loadlibrarya, 下命令后SOFTICE告知未定义,我的SOFTICE怎么拦不住? |
! |4 L2 I. L9 N6 k5 s1 r+ c/ S1 \/ X
| 在 softice 的目录下有一个文件叫 winice.dat
, M' J1 E. Y6 n其实是个文本文件,将这文件的最后几行把他改成如下 :
$ y. @1 ]1 E J/ s前面有分号的就是注解,把后面有 *32.dll 的方号去掉就行了
( m6 b1 ^/ W& }9 q1 o顺便加上 vb5, vb6 的 dll, 也可拦 vb 的 function 了
' k+ ]- q5 G' A/ ~9 p9 H EXP=c:\windows\system\kernel32.dll 3 ]# A6 Z8 _6 @
EXP=c:\windows\system\user32.dll 8 C( g" q( l5 C, i
EXP=c:\windows\system\gdi32.dll
. n) Z! ~3 h8 L! [$ K& wEXP=c:\windows\system\comdlg32.dll 9 v. ]$ E- i3 s- ~& X6 k# h
EXP=c:\windows\system\shell32.dll 5 |- B5 P, E/ ^' f
EXP=c:\windows\system\advapi32.dll
% N( x$ c% E2 g/ E/ KEXP=c:\windows\system\shell232.dll 2 X: H/ e% s4 P. ^
EXP=c:\windows\system\comctl32.dll % D/ X9 O0 h3 t& c
;EXP=c:\windows\system\crtdll.dll & K a& s: o3 M( O% `0 {: C: q, x
;EXP=c:\windows\system\version.dll
* `' D( Z7 ?5 z* [: ^! jEXP=c:\windows\system\netlib32.dll
8 U7 D. P* \( R3 y; y. n# C;EXP=c:\windows\system\msshrui.dll
3 S, |( O$ P" |9 jEXP=c:\windows\system\msnet32.dll
) c* Z3 _ T, j; ~; a; uEXP=c:\windows\system\mspwl32.dll ; _# Z* A* y$ Y* R: g, Y+ i; g
;EXP=c:\windows\system\mpr.dll
j% D7 W% _- T3 r2 Y! Lexp=c:\soft\95logo3\vb40032.dll
4 e# x* H* r( _2 kexp=c:\windows\system\msvbvm50.dll ' d5 R7 I5 D; p# X+ l
exp=c:\windows\system\msvbvm60.dll | 2 y4 L+ {4 u5 J. `! V
4、我在调试软件时,经常看到寄存器是EAX、EBX、ECX或AX、BX、CX等,这是怎么回事?
% q6 L5 b" m; X/ G( x2 ?因为win9x系统是一个16位和32位混合的操作系统,在这系统上能运行16位和32位的应用软件,所以你如调试不同位数的软件时,在寄存器上就反应出来了,EAX、EBX、ECX等是32位寄存器,而AX、BX、CX等是来表示16位寄存器。 . C _8 O8 F. P
5、如何在TRW2000下拦截VB运行库中的函数?
8 L1 N+ b( R2 G1 J你要用TRW2000拦截Vb程序,需要用1.15版以上,将相应的VB运行库复制到TRW2000的DLL目录下,你也可用此法装载其它DLL文件。 6 Q& J. u6 d6 I* v3 e# j2 R
6、问:我只会用bpx hmemcpy来下断点,也看过看雪先生的教学文章,但对其他断点一直是一知半解,所以现在问题来了。 某些程序并没有输入注册码的地方,只在开始运行时弹出一个对话框,告诉你还剩多少天了,有延迟,这种软件一般怎么破解。如:LView pro、PaintShop pro等 ' I7 M$ n0 ^$ a4 l+ B5 I$ U
答:( s3 s* E) L( d" P
程序像一条竹竿,断点就是上面的结(当然是我们设定的)。选择一个好的断点有助于我们少走弯路。其实你说的情况,没有注册窗口,只有nag. 此时可能仍可以用bpx hmemcpy。此外,你可以采用其它方法。
1 U; F4 |" i! D+ x n2 {& R以paint shop pro 5.01 evaluation为例。你用bpx hmemcpy是拦不住的。但还可以用如下几种方法。
/ H9 R _# B' C9 ~1. 当nag窗口出现后,激活trw or softice,下断点bpx lockmytask(或bpx destroywindow),回到psp.exe,按下start按钮后程序就会阻断。再用F10 或 F12走。直到你见到如下结构。
$ c- {- o+ L4 M$ a' ?" z# ?cs:******** call ****** <-- 用F10带过这一步后会有延迟画面。
0 u r% Q1 D$ ~' K' z8 ^: Fcs:******** test al, al <-- 此时你在这行。程序确定你按下的是何按钮 ' V# k6 @# f; c$ }5 J/ r2 a
这时按下F6,你就可以找到这个call前的code,并在其上下断点。若在这之前有跳转,如jz,jnz等,你就可以想办法使nag窗口不出现。
! c- b( U4 r7 t! u2 Q, D! t2. 在这个nag窗口中,你会见到一些"版权宣言"及"你已经试用了*天,还有**天可以用"等的话。将之抄下,叫出trw 或softice,用 5 M- u" X; {& U- E3 `
s 0 ffffffff "抄下的话"(trw) 或
2 a! {* }9 W/ hs 0 L ffffffff "抄下的话"(SOFTICE)找到其调用的地址。下断点 bpm "找到的地址"来拦截,余下的同例1。 2 ~: \. S$ d0 D
3. 若程序主窗口完全出现后再有延迟窗口出现,你可以在主窗口出现,而延迟窗口还未出现之际强行叫出trw(ctrl+N) 或softice(ctrl+D),然后一步步走,直到你确定了延迟窗口出现的那行code.
" [) j# @) Z. C4. 如程序没有被压缩、加壳。你可以用w32dasm等静态反汇编方法,在string reference中找到延迟窗口中的话,在这代码前下断点拦截。
8 [& ^" }% `* \ s; Q) H) G5 v以上简单介绍了几种方法,不知对你是否有帮助。
) w* w% y8 b1 v# B9 c7、问:命令"bpx regqueryvalueexa if *(esp->8)>='Soft' do "d(esp->14)"我看不大懂,您能给讲一下吗?多谢。
" g7 l4 O8 N0 R" K! o) A答:这个指令是一个复合指令,因为存注册码的键值是Softkey,其名字在[esp+8]中,其值在[esp+14]中. 2 q- I `+ q! s( d
当其值等于或大于Soft(因为只允许4个字符,不能输全键名)时中断,就拦在读Softkey的那个Call.
6 Q' X- V. P: U3 g4 _, Z, b) A否则每次程序call regqueryvalueexa时都会被拦. 5 C( V+ H2 t! V7 Y9 @2 _8 ^* r4 Y! p. L
拦住后,显示[esp+14]的内容.至于详细用法,你可以参考softice的用户手册,其中会解释*, , J1 ^! N- V! ?+ l
->等内容的. 开始时只要照做,以后提高了再弄明白原理就可以了. . @: q! h" w4 W/ i8 d
8、问:为什么用W32DASM反汇编不能显示中文信息?
3 B9 T+ U4 U0 H! t9 m& P1 d3 T) |答:wdasm是这样的,你可以用十六进制编辑器查找中文改为英文后再反汇编. / r2 c( Z' ?3 s1 H3 r" u+ s
9、问:请问如何修改TRW2000的字体颜色?
& H3 X$ Q) R& i8 ?; C" p0 j答:在TRW2000命令下用ver blue。 ! V, q2 Z5 r3 P4 r
10、问:介绍一下Launcher Generator补丁制作工具 4 U2 ^& I( U7 |8 Z3 v
答:LGen的优点在于它可以控制何时Patch. 在运行它生成的Loader后,会出现一个提示窗,当按下OK按钮后,它才对目标程序做Patch.用法很简单,而且界面是GUI的.在http://ringzer0.cjb.net(它的老家,Tools项下)可以下载或者其它破解工具站点找. $ t* I1 }, h2 Y$ z- X
11、问:我在用hiew改如下代码时:
" Z% B9 d+ ]- O+ S; u3 S00469206 e877d5f9ff call 00406782 & U+ ^" M5 J( t( S/ i5 I2 {
0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx
- O. M {0 {% ~" j我想屏蔽掉第一行:是否用 nop指令?我试了试,但修改后,发现第二行 变成了: 00469207 f4 hlt 是否对程序有影响,修改时必须保证源字节数?
7 r" K: S# V8 s3 W E5 l2 \9 _答:当然有影响,你修改必须保证nop的字节=e877d5f9ff的字节:
; @% R+ O% d* j7 u0 V ! E s, h' m$ \9 r- Z: U1 e7 R
00469206 e877d5f9ff call 00406782 这行要5个nop来填充即: 9090909090代替e877d5f9ff
, |& W0 C; i% K! @# S' J( ~你在hiew中连续改5行后,这一行就会又正常了0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx
0 N5 I- A+ e) \% }12、问:我在破解时,追到一行这样的代码:
0 O$ s& x% Y. g& I! Y+ y- ^0 P00406582 0f84f1000000 je 000406679 : H# c* D7 [% F8 T. Q$ c* {* ~
我想改变程序的方向,je改为jne后是否可以,如不是该怎样,请指教。 8 @5 q2 \1 ]. I* E
另,在win32dasm中,我想改反汇编后的代码,如何改?是否得用别的16位编辑器,怎么用? 6 W* |' f; m* Q0 |7 s
以上两个问题,困惑了我很久,请各位多指教,不胜感激!!!!!!! * J0 d- j& H$ E, @( ^
答:
0 w4 C! j' c8 G, [1 |①00406582 0f84f1000000 je 000406679 2 o5 a. V; V! l" z
你可在这一行,下A命令(进入小汇编状态),然后可输入你的正确的汇编代码,你在这可改为:jne 000406679 u0 v8 r2 V' G3 x/ o4 i/ [$ y
但TRW2000 demo版,此命令不能用,你可用SOFTICE来完成这工作。 2 y$ G" ?2 j! s$ S* ^& F
但我推荐你可在这一行,在TRW2000或SOFTICE下命令:r fl z $ w1 e* Y+ k2 T( }3 V6 _5 a
这样就可改变跳转指令。
: d, g' |4 o' z2 T4 Hfl是标志寄存器,r命令修改此寄存器相关的值,具体参考SOFTICE手册和汇编书籍。
% n6 }( S$ n0 K$ c g, N$ \1 x在win32dasm中不能改变程序代码,你可用16进制工具来完成,推荐用hiew来完成。
, @( x9 l/ |, u②也可以在trw中,用鼠标移动到愈修改代码出,直接修改,如75变74,即jnz->jz2 K0 V" c5 a" w# F& w+ Y& Q
. b' _" e1 x4 R+ k7 N9 H8 a; _' W
③在trw中,下命令e adress [欲修改之代码]
7 Z1 E: Y1 s% W" S' N14、问:在汇编语言中,"[]"的用法?如: 7 j( Z( c5 H3 v8 T
1、push dword ptr [024c1100] - S' J, K q0 o9 e0 I) l. X
2、cmp eax,[ebp+14]
; F! d& h6 E N! |8 E* J3 U3、cmp byte ptr [eax],46
1 H. u! g+ X) r3 J5 H+ W4、lea eax,[edx-02]
1 a4 g# R& q* W* \3 X$ G+ a5、mov ecx,[edx+08]
/ X K7 E( y8 n6 ]其中"[]"里的内容,什么时候表示的是值,什么时候表示的是地址,为什么?第4个是不是把"edx-02"的值作为地址送给eax???
4 S) l1 q0 I! y" U% }/ H# Q另一个问题是:我发现在soft-ice中,在寄存器区(即最上面的那个区,标志位下面)的右下脚有一个类似:"ds:xxxxxxxx=xxxxxxxx"的字样,时隐时现,并不断变化,不知是干什么用的,请指教,不胜感激!!!!!!!! / a5 S( H1 R5 e
答: ( p# A' A8 ~9 o9 M* h- ~# D
①右下角显示的那个是当前指令要操作的内存的地址及内容 。
4 ]8 j* N( P/ B& Z- D c: Flea指令表示取有效地址,第4个是把"edx-02"的值送给eax。 & }# S/ L6 e8 L- b* B) u K+ X
②
6 a5 ~ p4 ?6 c, p1,压栈024c1100值的双字 / T8 ]' P7 H. r& Y, f* |6 H
2,eax-ebp+14的有效值,不保留值,主要看标志位。 3 N. g. J G* u+ R: z* s% O
3,字节型eax-46,看标志位 7 Y) Q {0 l$ w+ u. a
4,把edx-02的有效值给eax 0 B4 s# w& f% [ H! v4 t9 x
5,edx+8处值作为地址,此地址的值给ecx
! x0 p, U& P. L8 g O+ ?15、问:能否推荐几本书? # B: ?3 [( `3 a' W
答: ' t& m5 G# ?9 {, o
1、《Win95系统编程奥秘》在这里:http://www.multimania.com/mpietreks2/ 3 Q3 ^1 v, n" `
2、《Thinking in C++》:http://www.bruceeckel.com/ThinkingInCPP2e.html 0 |! L2 T. r" A3 c* M' |
3、《Art of ASM》简直是汇编大全,http://win32asm.cjb.net或 http://personales.com/eeuu/arizona/Aesculapius/ebooks.html 或http://huizen.dds.nl/~books/。
7 I/ ]3 p1 M# v" t$ G4、 http://proxy.spaceproxy.com/-_-http://personales.com/eeuu/arizona/Aesculapius/files.html ' S6 {* @4 {) x0 m/ Y& {
5、
# ?/ k5 { V; O4 N16、问:我是初学者。用softice拦下后。f12转到那个领空。但那个领空有什么特征?怎样看?我不明白。 以hiew为例。我试了很多次。f12从头按到尾都看不到哪里标着hiew的。 & G( X* `1 l& r* K3 d' c5 R
答:你换个图形界面的windows程序试试,不要用hiew,f12并不是转到那个领空,F12是跳出子程序,如: 7 G+ [+ k7 U/ V* V {5 n( O! v |
mov eax,1
8 K1 i( L& G" f+ G% [! f2 z4 @: Hinc eax
0 B) S+ j1 |4 g) rret---------你在这段程序中按F12,就跳出此子程序,从RET处返回到上一程序中去。你如多按F12就等于跳出多个子程序,其实你用F10也能达到这一目的,F10来到inc eax,再按F10,执行RET一行,结果和你按F12一样的,只是F12更省事。 ! L' N$ l7 L% S5 ?, g/ a
领空是一形象说法,说明SOFTICE目前调试的程序代码是哪个程序的,一般会在SOFTICE屏幕下的三分之一处会有一光条线,中间有文件名,如:
6 {2 \- U; Y# x ~% C------------------------ACDSEE!CODE+???------------------------ 1 R, q! u0 z8 o ^4 _4 W, n
这表明目前SOFTICE是在ACDSEE程序的代码处,是ACDSEE.EXE不是ACDSEE.DLL就不知了,要具体分析 ' x9 Q0 ]& r! S: z* m
( N5 `) O) p4 o# e8 g$ }2 ?) b
| 
IP卡
狗仔卡
发表于 2005-3-20 13:40
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
