|
来源:看雪学院 ) j! g) k' a2 P8 |+ P" P+ N
, C7 L' S: h& e7 r9 h& u
; s r, C/ H; a8 O& }+ b X
- \ m" @: n+ d! ?1 k1 w1 `% Y) E% v; i% ~ a* C7 {
| 我系统是win9x,每次SOFTICE都自动装载,在windows下一按CTRL+D自动激活它,有什么办法解决? |
0 n7 e" H# v2 M1 T0 m
* {/ f# x+ i; v8 S- O- x| 这是SOFTICE安装时默认时改变了AUTOEXEC.BAT,自动加了一行wince.exe。每次系统启动时自动运行AUTOEXEC.BAT时将SOFTICE装载,你只要去掉这一行,问题就解决了。在你需要用SOFTICE时,在纯DOS环境下,在SOFTICE目录执行winice.exe文件即可装载。你也可自建一批处理命令来在纯DOS下装载SOFTICE。 |
% k M& l4 D1 h/ m: u
% i: ?* e" n( Z# z
) R0 b) `/ \+ V" g+ Y# x9 R- v) Y+ I2 D9 p& H v$ [
. t4 W0 G" L5 A2 n9 V' I* K
| 2、如何知道软件是被什么加的密? | - t6 y5 Q. d& j9 O& P5 e; E
& X! U ^# Q( G- o
| 用TYP或GetTyp侦测文件类型或用procdump查看文件的section就可以知道用什么加密 . | . V4 g( Q! T% G: G
: C+ z# j/ r; w* f+ J
5 _0 T) }; P* Z) ^: X( H6 q) |8 y. q# f' O. E W5 P# _! U2 `0 ?3 e& K
0 P( q- X7 }7 v. V, Z5 a' A1 v| 3、经常看到脱壳时下命令bpx loadlibrarya, 下命令后SOFTICE告知未定义,我的SOFTICE怎么拦不住? |
0 q3 u/ ^4 k) v7 S& `! H5 e. ?9 f2 B5 a6 p2 K
| 在 softice 的目录下有一个文件叫 winice.dat ( ^3 S) G) S3 R6 O' ~7 V
其实是个文本文件,将这文件的最后几行把他改成如下 :
- Y4 T& A+ } H前面有分号的就是注解,把后面有 *32.dll 的方号去掉就行了
+ \6 i; L4 \- @9 c9 w顺便加上 vb5, vb6 的 dll, 也可拦 vb 的 function 了 8 H7 q- x$ \% P H
EXP=c:\windows\system\kernel32.dll
% u( a6 m" z; l1 W' p% MEXP=c:\windows\system\user32.dll
* {! Q# E2 `7 n+ jEXP=c:\windows\system\gdi32.dll 6 A4 }+ ^5 l: a( z. K3 ~
EXP=c:\windows\system\comdlg32.dll
" Z# U7 F( n+ mEXP=c:\windows\system\shell32.dll 5 r+ r4 p) N6 B `; I1 d
EXP=c:\windows\system\advapi32.dll
; q# @: k( ^8 c" Z/ x kEXP=c:\windows\system\shell232.dll ' b# f) m: d5 |0 [" i3 W
EXP=c:\windows\system\comctl32.dll
9 }2 H5 B6 ~! f3 V;EXP=c:\windows\system\crtdll.dll
) ~( [. h8 c, H! _;EXP=c:\windows\system\version.dll " S- V" H1 q& m$ M# S) ^) a9 f2 J
EXP=c:\windows\system\netlib32.dll
. X' A- j( ]7 R/ M) N N- _;EXP=c:\windows\system\msshrui.dll 2 K* D" W8 Z7 x* t* Z( p( Q
EXP=c:\windows\system\msnet32.dll - [6 p/ j/ `- Y R i) a, t
EXP=c:\windows\system\mspwl32.dll + V/ r7 A9 b/ `' N" z
;EXP=c:\windows\system\mpr.dll 6 \8 {3 g# v. U! f6 k- D
exp=c:\soft\95logo3\vb40032.dll
9 N" {" P- ]: Q) K% c; S. F) n* |exp=c:\windows\system\msvbvm50.dll
# j9 F9 S) ^9 E, h2 Nexp=c:\windows\system\msvbvm60.dll | . ]! \+ y3 j6 O7 M! \
4、我在调试软件时,经常看到寄存器是EAX、EBX、ECX或AX、BX、CX等,这是怎么回事?# W8 ~: ^3 E V8 j7 g0 a; h" s
因为win9x系统是一个16位和32位混合的操作系统,在这系统上能运行16位和32位的应用软件,所以你如调试不同位数的软件时,在寄存器上就反应出来了,EAX、EBX、ECX等是32位寄存器,而AX、BX、CX等是来表示16位寄存器。 * N/ _0 t9 c1 Q/ R: s
5、如何在TRW2000下拦截VB运行库中的函数? 7 m4 I3 Q* H7 d: H: Z% i
你要用TRW2000拦截Vb程序,需要用1.15版以上,将相应的VB运行库复制到TRW2000的DLL目录下,你也可用此法装载其它DLL文件。 ( u/ v) I- z, N
6、问:我只会用bpx hmemcpy来下断点,也看过看雪先生的教学文章,但对其他断点一直是一知半解,所以现在问题来了。 某些程序并没有输入注册码的地方,只在开始运行时弹出一个对话框,告诉你还剩多少天了,有延迟,这种软件一般怎么破解。如:LView pro、PaintShop pro等
& I* L. i3 n3 J1 o( |答:
0 }$ h5 V, R7 j5 J程序像一条竹竿,断点就是上面的结(当然是我们设定的)。选择一个好的断点有助于我们少走弯路。其实你说的情况,没有注册窗口,只有nag. 此时可能仍可以用bpx hmemcpy。此外,你可以采用其它方法。 # x m9 x% S& D" y6 o; g
以paint shop pro 5.01 evaluation为例。你用bpx hmemcpy是拦不住的。但还可以用如下几种方法。 ! {- u7 S. @* b
1. 当nag窗口出现后,激活trw or softice,下断点bpx lockmytask(或bpx destroywindow),回到psp.exe,按下start按钮后程序就会阻断。再用F10 或 F12走。直到你见到如下结构。
o8 z- L+ g: Lcs:******** call ****** <-- 用F10带过这一步后会有延迟画面。
) Q6 M* d6 P8 j- {+ U* c) Ucs:******** test al, al <-- 此时你在这行。程序确定你按下的是何按钮
5 T4 K- R0 H' D9 A这时按下F6,你就可以找到这个call前的code,并在其上下断点。若在这之前有跳转,如jz,jnz等,你就可以想办法使nag窗口不出现。
" Z8 j+ R+ N" E2. 在这个nag窗口中,你会见到一些"版权宣言"及"你已经试用了*天,还有**天可以用"等的话。将之抄下,叫出trw 或softice,用
) M' j# I8 [" Q+ V3 t) B$ Fs 0 ffffffff "抄下的话"(trw) 或
7 i2 E! L5 T3 N8 }s 0 L ffffffff "抄下的话"(SOFTICE)找到其调用的地址。下断点 bpm "找到的地址"来拦截,余下的同例1。 ! s( e) g' a k6 {, K: L B% V
3. 若程序主窗口完全出现后再有延迟窗口出现,你可以在主窗口出现,而延迟窗口还未出现之际强行叫出trw(ctrl+N) 或softice(ctrl+D),然后一步步走,直到你确定了延迟窗口出现的那行code. - h* H# g3 @4 C- v; |, B
4. 如程序没有被压缩、加壳。你可以用w32dasm等静态反汇编方法,在string reference中找到延迟窗口中的话,在这代码前下断点拦截。 . ?" O" L* A" K* c' w
以上简单介绍了几种方法,不知对你是否有帮助。 $ x! W/ H6 @& s% |
7、问:命令"bpx regqueryvalueexa if *(esp->8)>='Soft' do "d(esp->14)"我看不大懂,您能给讲一下吗?多谢。
' J& l* A6 j+ S& ?/ L9 ]0 a, c答:这个指令是一个复合指令,因为存注册码的键值是Softkey,其名字在[esp+8]中,其值在[esp+14]中. 1 @- L% r3 p. J: t; r; t, ~! w
当其值等于或大于Soft(因为只允许4个字符,不能输全键名)时中断,就拦在读Softkey的那个Call.
1 \& N9 o) e7 c5 }9 ^' K, V8 S否则每次程序call regqueryvalueexa时都会被拦. }& A, V, m/ U5 a6 D9 G
拦住后,显示[esp+14]的内容.至于详细用法,你可以参考softice的用户手册,其中会解释*,
" f: ?% d# H4 M1 e+ Q->等内容的. 开始时只要照做,以后提高了再弄明白原理就可以了.
! y% L1 \ C" \9 `; d$ |8、问:为什么用W32DASM反汇编不能显示中文信息? / }/ A4 F! V; c: \2 ]- Z% R
答:wdasm是这样的,你可以用十六进制编辑器查找中文改为英文后再反汇编.
0 X. p1 f# \- T% B) g9、问:请问如何修改TRW2000的字体颜色?
) r7 N- n( w2 t) g! V4 e答:在TRW2000命令下用ver blue。 ! j: \# m( r' v3 M1 g+ V
10、问:介绍一下Launcher Generator补丁制作工具
) e3 i5 d8 A- W1 _! l答:LGen的优点在于它可以控制何时Patch. 在运行它生成的Loader后,会出现一个提示窗,当按下OK按钮后,它才对目标程序做Patch.用法很简单,而且界面是GUI的.在http://ringzer0.cjb.net(它的老家,Tools项下)可以下载或者其它破解工具站点找.
+ H, }- n; Y# D3 [& `! u9 x6 D11、问:我在用hiew改如下代码时:
4 ~; k5 g$ }8 K, _. F00469206 e877d5f9ff call 00406782
; ~- h* Q. B J9 `0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx$ Z; R3 z/ J( e' }$ x
我想屏蔽掉第一行:是否用 nop指令?我试了试,但修改后,发现第二行 变成了: 00469207 f4 hlt 是否对程序有影响,修改时必须保证源字节数?
. v) L/ N# O" e$ K; }答:当然有影响,你修改必须保证nop的字节=e877d5f9ff的字节:' d: A0 y( h6 w
! ?, C, @. f! ^1 Y) a4 t! R
00469206 e877d5f9ff call 00406782 这行要5个nop来填充即: 9090909090代替e877d5f9ff + W" ?9 W7 z; c; E# e. o1 K
你在hiew中连续改5行后,这一行就会又正常了0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx
( u: [$ t' g5 p f& l' Z8 ?; S2 s8 H12、问:我在破解时,追到一行这样的代码:
0 o$ Q4 X) V* V/ O7 V/ }00406582 0f84f1000000 je 000406679
7 l7 x+ I) D+ v- h) v0 |我想改变程序的方向,je改为jne后是否可以,如不是该怎样,请指教。 + X0 R$ S# P' M4 g9 v
另,在win32dasm中,我想改反汇编后的代码,如何改?是否得用别的16位编辑器,怎么用?
, S' Q. A) s1 y$ o6 c. k以上两个问题,困惑了我很久,请各位多指教,不胜感激!!!!!!! ' S: G; Z9 B2 W& `$ d
答:
! H+ L8 x0 s1 N0 t, H9 U①00406582 0f84f1000000 je 000406679
1 q. A+ [0 M1 Y! s你可在这一行,下A命令(进入小汇编状态),然后可输入你的正确的汇编代码,你在这可改为:jne 000406679 7 R& ^$ j4 X* E; a8 c( r" e% Q( c
但TRW2000 demo版,此命令不能用,你可用SOFTICE来完成这工作。
, I* b3 W& {( O3 B3 i- O但我推荐你可在这一行,在TRW2000或SOFTICE下命令:r fl z - ^/ L; |* d3 x" O% G3 r
这样就可改变跳转指令。 . j* v9 d2 d/ e$ e% \$ @. b% Q- q
fl是标志寄存器,r命令修改此寄存器相关的值,具体参考SOFTICE手册和汇编书籍。 % ]4 g2 n' f, @" a$ p) K
在win32dasm中不能改变程序代码,你可用16进制工具来完成,推荐用hiew来完成。 3 C; O+ T" }) C7 ^$ v4 `
②也可以在trw中,用鼠标移动到愈修改代码出,直接修改,如75变74,即jnz->jz
8 g7 [* _; D. o; g0 X# p1 W( i % L$ L$ L) ?2 p" l% J. w
③在trw中,下命令e adress [欲修改之代码] # u! Y* p. [- \( }0 a, q# g
14、问:在汇编语言中,"[]"的用法?如:
' S3 F: I( N0 {- m- W1、push dword ptr [024c1100] 7 `6 t0 M, x; ?5 c: ?
2、cmp eax,[ebp+14] " v: o7 |- w* ]) C& Z* T7 P7 ~3 {
3、cmp byte ptr [eax],46 ( p! X* S" ~; _' D( y0 M6 h
4、lea eax,[edx-02]
7 I4 x5 B( ^0 `3 \5、mov ecx,[edx+08] . d& S# u, L* y& {, m7 x7 Q/ Y$ X1 G
其中"[]"里的内容,什么时候表示的是值,什么时候表示的是地址,为什么?第4个是不是把"edx-02"的值作为地址送给eax???
( {" e* K3 F/ v, H另一个问题是:我发现在soft-ice中,在寄存器区(即最上面的那个区,标志位下面)的右下脚有一个类似:"ds:xxxxxxxx=xxxxxxxx"的字样,时隐时现,并不断变化,不知是干什么用的,请指教,不胜感激!!!!!!!! 5 ]$ ?: p7 a+ {3 w4 v6 H
答:
' l+ s1 F$ g4 O' M5 a/ y$ p4 }% l. P①右下角显示的那个是当前指令要操作的内存的地址及内容 。
/ N$ D9 ^- U3 m' g4 {* i- c9 mlea指令表示取有效地址,第4个是把"edx-02"的值送给eax。 & _( T1 x" q3 d; b5 B
②5 R& E9 ^. d0 @% r+ A( K3 e8 c1 T
1,压栈024c1100值的双字
l# U# z6 Y! f# b0 [2,eax-ebp+14的有效值,不保留值,主要看标志位。 9 B. e/ ]6 I3 H3 B, R
3,字节型eax-46,看标志位 + N- ], ^5 h1 {' F
4,把edx-02的有效值给eax
+ o+ x1 j- z2 O5 `& J5,edx+8处值作为地址,此地址的值给ecx . y" `" B$ h" O
15、问:能否推荐几本书?
/ Y r4 R+ _, X' I& |. p' Q1 E答:
9 q* u' u. |# p1 E ~4 |6 K1、《Win95系统编程奥秘》在这里:http://www.multimania.com/mpietreks2/ & J3 ^: L& {* |* D
2、《Thinking in C++》:http://www.bruceeckel.com/ThinkingInCPP2e.html
6 B2 m3 q% D" S. M2 E B! G+ ?3、《Art of ASM》简直是汇编大全,http://win32asm.cjb.net或 http://personales.com/eeuu/arizona/Aesculapius/ebooks.html 或http://huizen.dds.nl/~books/。
0 P2 R6 T- D. ^4、 http://proxy.spaceproxy.com/-_-http://personales.com/eeuu/arizona/Aesculapius/files.html + k# F$ I9 a5 ~+ n+ [
5、 # P6 X" x3 i3 K5 q/ `$ [' }9 N
16、问:我是初学者。用softice拦下后。f12转到那个领空。但那个领空有什么特征?怎样看?我不明白。 以hiew为例。我试了很多次。f12从头按到尾都看不到哪里标着hiew的。 ) u! ~# v* F" @0 ^6 {- B
答:你换个图形界面的windows程序试试,不要用hiew,f12并不是转到那个领空,F12是跳出子程序,如: # Y) M! u+ S M9 Z& s+ ?3 {7 x8 N$ k
mov eax,1 / a4 B( L, N: d/ |) S" k; c$ C
inc eax ; Y1 l, l6 |) Z) `. c2 M
ret---------你在这段程序中按F12,就跳出此子程序,从RET处返回到上一程序中去。你如多按F12就等于跳出多个子程序,其实你用F10也能达到这一目的,F10来到inc eax,再按F10,执行RET一行,结果和你按F12一样的,只是F12更省事。 6 U4 Q1 O+ n* \
领空是一形象说法,说明SOFTICE目前调试的程序代码是哪个程序的,一般会在SOFTICE屏幕下的三分之一处会有一光条线,中间有文件名,如:
Z. j8 Z/ c4 c' h% _------------------------ACDSEE!CODE+???------------------------ H+ }0 i1 c( {9 f% c
这表明目前SOFTICE是在ACDSEE程序的代码处,是ACDSEE.EXE不是ACDSEE.DLL就不知了,要具体分析
$ N( w; P$ {; O& O) e
' l8 J8 q4 R! A8 B4 K | 
IP卡
狗仔卡
发表于 2005-3-20 13:40
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
