|
软件破解常见问题 0 ^: h: K, s3 |6 n1 m5 O4 I
来源:看雪学院
, \8 h9 _4 H0 [1 K: F* L- A/ ]2 p& U3 M; |* H' G. S
/ O, I1 G5 T/ M8 B8 j7 a4 K; F+ k. S9 m! G* t& w6 e$ I$ v
" V5 @% m, e$ l B* J+ D5 H| 我系统是win9x,每次SOFTICE都自动装载,在windows下一按CTRL+D自动激活它,有什么办法解决? | $ a7 a9 N, Y! a1 Q0 k3 K A/ ?3 X
' }+ T% H4 _' |; ^- L1 L3 O5 ^% F
| 这是SOFTICE安装时默认时改变了AUTOEXEC.BAT,自动加了一行wince.exe。每次系统启动时自动运行AUTOEXEC.BAT时将SOFTICE装载,你只要去掉这一行,问题就解决了。在你需要用SOFTICE时,在纯DOS环境下,在SOFTICE目录执行winice.exe文件即可装载。你也可自建一批处理命令来在纯DOS下装载SOFTICE。 |
* x# i/ u! u" x0 Y0 k+ b C$ S2 N3 e" h# g. B. h+ t$ s! G
M) J1 S# n! s t$ _" W0 n2 ` v& l! \9 d* u& D7 M6 C" y2 `8 |
( u5 |2 s( A4 `$ g* C
| 2、如何知道软件是被什么加的密? |
3 q' j; s& X4 {2 L* r1 F ?0 X, r5 w6 d' z
| 用TYP或GetTyp侦测文件类型或用procdump查看文件的section就可以知道用什么加密 . | % e" X" w1 u( u
. d; r5 w, N- _! e# @0 H% ]" u2 i3 _* f9 E" W
4 s6 v; R1 j/ H/ @- Y2 l' D$ c+ g- U9 w# [
| 3、经常看到脱壳时下命令bpx loadlibrarya, 下命令后SOFTICE告知未定义,我的SOFTICE怎么拦不住? |
5 ~+ q* _2 `" s+ D; V9 J
- P3 l& [5 B$ j9 a| 在 softice 的目录下有一个文件叫 winice.dat 1 }( K+ }5 T( k% T% D0 d
其实是个文本文件,将这文件的最后几行把他改成如下 :. W, a6 _- U" k% s
前面有分号的就是注解,把后面有 *32.dll 的方号去掉就行了 3 j8 n" E5 t Z9 t. ~% K
顺便加上 vb5, vb6 的 dll, 也可拦 vb 的 function 了 2 ?% c; w% O* ?
EXP=c:\windows\system\kernel32.dll $ P3 \( P, n6 u' o' Q5 T+ ^1 n
EXP=c:\windows\system\user32.dll ) e8 {, }7 r" p; D
EXP=c:\windows\system\gdi32.dll
4 q5 h$ D3 _5 F4 |( G0 k# |EXP=c:\windows\system\comdlg32.dll
' T" D' u" P, |, X0 D/ FEXP=c:\windows\system\shell32.dll
: S0 c# Z) ?( z9 b8 OEXP=c:\windows\system\advapi32.dll + ?) E: G$ X' v* N* ]
EXP=c:\windows\system\shell232.dll - j: j; n q) V' Z
EXP=c:\windows\system\comctl32.dll 2 A, a! V6 ]; n: _* K
;EXP=c:\windows\system\crtdll.dll * ?6 ^9 I ^8 f' |" I, m
;EXP=c:\windows\system\version.dll . E O# v" ?% {! k1 E& f& d: X7 r
EXP=c:\windows\system\netlib32.dll / Y0 F% {' _- r, ?' o$ T3 y
;EXP=c:\windows\system\msshrui.dll 8 H& l' R* u! `1 u: s
EXP=c:\windows\system\msnet32.dll + Z$ R1 z+ u) O8 r! }& x( I7 i8 {
EXP=c:\windows\system\mspwl32.dll
# x8 h5 c* i0 C% ?- B. e;EXP=c:\windows\system\mpr.dll
w) ]7 m8 r/ I Rexp=c:\soft\95logo3\vb40032.dll
9 _2 N- Q8 r& ^4 c: rexp=c:\windows\system\msvbvm50.dll ! Y( z8 x: E# U I. _
exp=c:\windows\system\msvbvm60.dll | / W4 U; X4 \! B% D9 k* `# M
4、我在调试软件时,经常看到寄存器是EAX、EBX、ECX或AX、BX、CX等,这是怎么回事?
6 w3 O$ k5 j) U1 r# ~因为win9x系统是一个16位和32位混合的操作系统,在这系统上能运行16位和32位的应用软件,所以你如调试不同位数的软件时,在寄存器上就反应出来了,EAX、EBX、ECX等是32位寄存器,而AX、BX、CX等是来表示16位寄存器。
/ ^4 Q$ k+ C; W- b. w5、如何在TRW2000下拦截VB运行库中的函数? 5 B2 |' o( f7 J4 C
你要用TRW2000拦截Vb程序,需要用1.15版以上,将相应的VB运行库复制到TRW2000的DLL目录下,你也可用此法装载其它DLL文件。 , q! ~4 e/ k' O$ n* e e6 x* v. [
6、问:我只会用bpx hmemcpy来下断点,也看过看雪先生的教学文章,但对其他断点一直是一知半解,所以现在问题来了。 某些程序并没有输入注册码的地方,只在开始运行时弹出一个对话框,告诉你还剩多少天了,有延迟,这种软件一般怎么破解。如:LView pro、PaintShop pro等
, D8 x- r$ t7 m答:3 o! P; t- c3 C! z" e/ v# V
程序像一条竹竿,断点就是上面的结(当然是我们设定的)。选择一个好的断点有助于我们少走弯路。其实你说的情况,没有注册窗口,只有nag. 此时可能仍可以用bpx hmemcpy。此外,你可以采用其它方法。 * {+ _* H; F( S9 @' J2 K" k
以paint shop pro 5.01 evaluation为例。你用bpx hmemcpy是拦不住的。但还可以用如下几种方法。
1 b3 X, ^# f) x! E6 Y' h4 ]; Z1. 当nag窗口出现后,激活trw or softice,下断点bpx lockmytask(或bpx destroywindow),回到psp.exe,按下start按钮后程序就会阻断。再用F10 或 F12走。直到你见到如下结构。
. |) C% K" M$ d7 h) @3 ~7 o! t! |2 ~) Dcs:******** call ****** <-- 用F10带过这一步后会有延迟画面。 2 r$ } p; b/ A! z% u# i
cs:******** test al, al <-- 此时你在这行。程序确定你按下的是何按钮 1 L9 ], o9 x' G9 h" M7 \6 d
这时按下F6,你就可以找到这个call前的code,并在其上下断点。若在这之前有跳转,如jz,jnz等,你就可以想办法使nag窗口不出现。
G! s8 Y7 t* @/ V: U2 ^. O2. 在这个nag窗口中,你会见到一些"版权宣言"及"你已经试用了*天,还有**天可以用"等的话。将之抄下,叫出trw 或softice,用 . K* }8 Y4 G: A; k0 @
s 0 ffffffff "抄下的话"(trw) 或 " i' d4 u! ~2 U4 D6 n! E3 r
s 0 L ffffffff "抄下的话"(SOFTICE)找到其调用的地址。下断点 bpm "找到的地址"来拦截,余下的同例1。
w, o) e6 G5 B8 f) e1 y3. 若程序主窗口完全出现后再有延迟窗口出现,你可以在主窗口出现,而延迟窗口还未出现之际强行叫出trw(ctrl+N) 或softice(ctrl+D),然后一步步走,直到你确定了延迟窗口出现的那行code.
D: {1 S# ~. o( c* D. o4. 如程序没有被压缩、加壳。你可以用w32dasm等静态反汇编方法,在string reference中找到延迟窗口中的话,在这代码前下断点拦截。 ( I5 ~+ d( H: n3 h r; a
以上简单介绍了几种方法,不知对你是否有帮助。
" K+ x+ ?1 h0 q! l- F2 s7、问:命令"bpx regqueryvalueexa if *(esp->8)>='Soft' do "d(esp->14)"我看不大懂,您能给讲一下吗?多谢。 : V" ^/ S' q N4 n1 F
答:这个指令是一个复合指令,因为存注册码的键值是Softkey,其名字在[esp+8]中,其值在[esp+14]中.
2 c4 o1 f' J- j) A" _% a当其值等于或大于Soft(因为只允许4个字符,不能输全键名)时中断,就拦在读Softkey的那个Call. ; T2 R! Z9 J2 A, J% M1 J6 \: t9 ^) }
否则每次程序call regqueryvalueexa时都会被拦. 3 `3 w- M2 L x# d
拦住后,显示[esp+14]的内容.至于详细用法,你可以参考softice的用户手册,其中会解释*, " M2 W" l2 U# p& y4 K
->等内容的. 开始时只要照做,以后提高了再弄明白原理就可以了.
4 j* h# o" J& X' s9 w+ M; v8、问:为什么用W32DASM反汇编不能显示中文信息?
8 G7 G% G2 w, P8 b; _, S, C% ^+ e# @答:wdasm是这样的,你可以用十六进制编辑器查找中文改为英文后再反汇编. : E! @0 E6 h) s
9、问:请问如何修改TRW2000的字体颜色?
; [+ d8 i: f$ P9 D2 ^8 n" @6 z; Y答:在TRW2000命令下用ver blue。
5 Q+ `0 j* z0 ~8 V& K" ~10、问:介绍一下Launcher Generator补丁制作工具
5 M: u4 d- t7 X4 s3 q/ i6 Q答:LGen的优点在于它可以控制何时Patch. 在运行它生成的Loader后,会出现一个提示窗,当按下OK按钮后,它才对目标程序做Patch.用法很简单,而且界面是GUI的.在http://ringzer0.cjb.net(它的老家,Tools项下)可以下载或者其它破解工具站点找. % U, f5 V: L: c& N- |! e3 M
11、问:我在用hiew改如下代码时:
$ r1 ^" m8 n2 o9 H: T00469206 e877d5f9ff call 00406782 3 M' y! r0 M5 m
0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx2 r5 Z3 d/ q* g- u# k% ]! ~4 D
我想屏蔽掉第一行:是否用 nop指令?我试了试,但修改后,发现第二行 变成了: 00469207 f4 hlt 是否对程序有影响,修改时必须保证源字节数? 3 z# |: V$ y8 ~8 R* t8 [& A& {
答:当然有影响,你修改必须保证nop的字节=e877d5f9ff的字节:
# ?3 A% q% y. d- n& Z' h6 e
, y+ M; K) d x& D, R+ p00469206 e877d5f9ff call 00406782 这行要5个nop来填充即: 9090909090代替e877d5f9ff
b% Z0 j( \& |, e+ a0 C. {你在hiew中连续改5行后,这一行就会又正常了0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx
7 e6 {& x0 B1 H8 V+ W12、问:我在破解时,追到一行这样的代码:
7 R E0 {% ]9 J j4 _1 K( Q00406582 0f84f1000000 je 000406679
+ y& \' k% b" m2 `5 {' x* b. P9 X我想改变程序的方向,je改为jne后是否可以,如不是该怎样,请指教。
3 D! ]( o* _ D( Z另,在win32dasm中,我想改反汇编后的代码,如何改?是否得用别的16位编辑器,怎么用?
! |# Z* j! I4 v' C& y以上两个问题,困惑了我很久,请各位多指教,不胜感激!!!!!!! * n7 E$ k6 ^5 D' \
答: 5 w7 \/ T a) t8 |: c* c; y/ t2 F
①00406582 0f84f1000000 je 000406679 , l( [1 X: _2 F/ W1 H. D& Z+ U
你可在这一行,下A命令(进入小汇编状态),然后可输入你的正确的汇编代码,你在这可改为:jne 000406679 / L" N! F* w# o) E6 D4 o- a
但TRW2000 demo版,此命令不能用,你可用SOFTICE来完成这工作。
% b7 O$ U! I6 Z& p0 }但我推荐你可在这一行,在TRW2000或SOFTICE下命令:r fl z % [5 G# P5 K9 y! ]8 i. @# \
这样就可改变跳转指令。
! ^( v, |9 m2 [) ]5 hfl是标志寄存器,r命令修改此寄存器相关的值,具体参考SOFTICE手册和汇编书籍。
5 Y9 h) e: X E) Q: ^: F在win32dasm中不能改变程序代码,你可用16进制工具来完成,推荐用hiew来完成。 # a* K+ z1 z: ]$ u, x& o; W
②也可以在trw中,用鼠标移动到愈修改代码出,直接修改,如75变74,即jnz->jz4 g3 }( Q3 K0 m+ w& ~' Z
3 E# i/ g: X; g' c9 t/ P7 w" K③在trw中,下命令e adress [欲修改之代码]
* j, D+ M$ n& R6 F1 {14、问:在汇编语言中,"[]"的用法?如:
" H8 R+ \! q( R- L8 `1 A1、push dword ptr [024c1100] 5 H4 }+ n( E5 L, N
2、cmp eax,[ebp+14] 3 N. k$ N, `2 ]9 b/ |
3、cmp byte ptr [eax],46 # D5 E3 \; p- T
4、lea eax,[edx-02] ! B& {/ O6 m! ]$ ^" j
5、mov ecx,[edx+08] ) o, W4 N6 ]' j
其中"[]"里的内容,什么时候表示的是值,什么时候表示的是地址,为什么?第4个是不是把"edx-02"的值作为地址送给eax??? 1 U2 Q6 R3 J1 E' }5 l) K8 [
另一个问题是:我发现在soft-ice中,在寄存器区(即最上面的那个区,标志位下面)的右下脚有一个类似:"ds:xxxxxxxx=xxxxxxxx"的字样,时隐时现,并不断变化,不知是干什么用的,请指教,不胜感激!!!!!!!!
! s# }' Q h" |3 t) P" e答: 2 {" d6 u1 f5 Z0 W; o8 U2 c
①右下角显示的那个是当前指令要操作的内存的地址及内容 。/ q/ c% N2 z7 L# @
lea指令表示取有效地址,第4个是把"edx-02"的值送给eax。
8 _2 w5 ^! Y* h8 c: U4 K Q②1 A; x1 J- [. y1 E9 m0 b
1,压栈024c1100值的双字 ' g5 P. ~$ t" k) D+ z( V/ l) X
2,eax-ebp+14的有效值,不保留值,主要看标志位。
5 ]$ {9 m& Y) l B2 u4 u3 o8 Y* R" S3,字节型eax-46,看标志位
/ x$ i8 q3 w7 O: p h+ |4,把edx-02的有效值给eax
: O; }$ X( i! f" n4 J7 O5,edx+8处值作为地址,此地址的值给ecx
6 U3 z5 u6 c. u$ R! [( K2 V7 ^7 v, J15、问:能否推荐几本书?
! p- U/ y' M% B* M1 c( `2 @' N9 V- I答:
0 S+ l7 g& I4 M5 E/ E# ]1、《Win95系统编程奥秘》在这里:http://www.multimania.com/mpietreks2/ . K- I- X: J# ?; }6 H
2、《Thinking in C++》:http://www.bruceeckel.com/ThinkingInCPP2e.html 5 b+ u- Z' H6 Y/ b" @) ?
3、《Art of ASM》简直是汇编大全,http://win32asm.cjb.net或 http://personales.com/eeuu/arizona/Aesculapius/ebooks.html 或http://huizen.dds.nl/~books/。
, n' N" a1 \$ E4、 http://proxy.spaceproxy.com/-_-http://personales.com/eeuu/arizona/Aesculapius/files.html k) v5 l0 }# a$ V7 S
5、 1 {3 G2 d( Q9 ~8 `
16、问:我是初学者。用softice拦下后。f12转到那个领空。但那个领空有什么特征?怎样看?我不明白。 以hiew为例。我试了很多次。f12从头按到尾都看不到哪里标着hiew的。 7 O( P4 Q; J- k5 C
答:你换个图形界面的windows程序试试,不要用hiew,f12并不是转到那个领空,F12是跳出子程序,如:
6 t; z/ s) h5 d& Y% dmov eax,1 & B" S# F; ^' B( i/ Z+ T/ m; v( F
inc eax
1 a+ k( g' u6 o1 T5 [4 J/ fret---------你在这段程序中按F12,就跳出此子程序,从RET处返回到上一程序中去。你如多按F12就等于跳出多个子程序,其实你用F10也能达到这一目的,F10来到inc eax,再按F10,执行RET一行,结果和你按F12一样的,只是F12更省事。
5 W8 Z. W& L+ w" l; Q领空是一形象说法,说明SOFTICE目前调试的程序代码是哪个程序的,一般会在SOFTICE屏幕下的三分之一处会有一光条线,中间有文件名,如:
8 z% p7 i6 K6 b9 s8 P, A------------------------ACDSEE!CODE+???------------------------ $ l% t3 }$ C; p/ h# |/ j; F
这表明目前SOFTICE是在ACDSEE程序的代码处,是ACDSEE.EXE不是ACDSEE.DLL就不知了,要具体分析
. U' a/ _" n% Z( t
( B( _' o. {" R8 y$ O$ k | 
IP卡
狗仔卡
发表于 2005-3-20 13:50
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
