|
来源:看雪学院
9 \7 W, F8 z' m' l! p! U4 n3 ]) h9 S7 x. [$ u' F) V
1 f( n; ~5 Y7 R2 T
. C, g2 k \+ M' A0 H1 o, ^. f1 y5 z: k g' y2 v( t
| 我系统是win9x,每次SOFTICE都自动装载,在windows下一按CTRL+D自动激活它,有什么办法解决? |
1 B& t! @$ Q( a* g0 P1 @6 q* `% p5 I, U* M! _4 G3 \* z/ i
| 这是SOFTICE安装时默认时改变了AUTOEXEC.BAT,自动加了一行wince.exe。每次系统启动时自动运行AUTOEXEC.BAT时将SOFTICE装载,你只要去掉这一行,问题就解决了。在你需要用SOFTICE时,在纯DOS环境下,在SOFTICE目录执行winice.exe文件即可装载。你也可自建一批处理命令来在纯DOS下装载SOFTICE。 | 4 Z( [5 V" u" F6 x8 f
) h0 D. q* {9 I, M8 G5 g3 ?& S' I0 R0 v7 J( z) S
4 s5 |9 M9 y8 b9 T- D
+ q/ e. t6 R7 d
| 2、如何知道软件是被什么加的密? |
% R4 f* b: H- G- O/ h1 A; q7 R2 ~4 h
| 用TYP或GetTyp侦测文件类型或用procdump查看文件的section就可以知道用什么加密 . |
7 c' J2 [5 A+ x r
5 F/ r, F" Z+ M# m, ?
, _* X. j/ Q0 L0 S, B( z4 q2 R) U" c
4 b$ s% r6 Q& R% D/ C' N6 Z* n
( z2 [! A# e0 M( o0 R0 ~4 i7 ^| 3、经常看到脱壳时下命令bpx loadlibrarya, 下命令后SOFTICE告知未定义,我的SOFTICE怎么拦不住? |
& a; ^- I: @& ~: R# c3 ~7 x4 K) r0 a$ \" r
| 在 softice 的目录下有一个文件叫 winice.dat
6 M+ d& N6 W4 Y6 E9 d4 d: Y其实是个文本文件,将这文件的最后几行把他改成如下 :1 K. U2 n% O t
前面有分号的就是注解,把后面有 *32.dll 的方号去掉就行了 ; `) i" R- E }% B. [
顺便加上 vb5, vb6 的 dll, 也可拦 vb 的 function 了 3 O* ], U6 J: P. ~# {
EXP=c:\windows\system\kernel32.dll ( R6 k) ?" `% e# |) d
EXP=c:\windows\system\user32.dll % x; t* A6 o4 G; \1 m" k
EXP=c:\windows\system\gdi32.dll 0 m7 B9 B+ p( v/ T' o$ H( R* Q
EXP=c:\windows\system\comdlg32.dll
1 D2 k# P9 I* T j. R+ q! lEXP=c:\windows\system\shell32.dll / G# D* O1 C+ l4 E
EXP=c:\windows\system\advapi32.dll ( H3 V8 c: H- N f0 P
EXP=c:\windows\system\shell232.dll
" e! B/ c* M p7 vEXP=c:\windows\system\comctl32.dll & T1 r) P- t% D- }) o: |
;EXP=c:\windows\system\crtdll.dll + c1 F6 n/ o5 u; n8 J* O
;EXP=c:\windows\system\version.dll * L# N3 p7 h4 O
EXP=c:\windows\system\netlib32.dll
' W% o. b6 }0 W' U5 ]+ q- }8 ~;EXP=c:\windows\system\msshrui.dll
7 V9 \* m- f' i- q3 X' zEXP=c:\windows\system\msnet32.dll
$ V$ _, T2 J' H f% cEXP=c:\windows\system\mspwl32.dll " E/ m" } I& s/ E4 q, Q# j
;EXP=c:\windows\system\mpr.dll * C5 m: T& c! `5 P, ?5 l0 L
exp=c:\soft\95logo3\vb40032.dll % p$ M, b0 A- Z6 z" q4 N4 h
exp=c:\windows\system\msvbvm50.dll 2 f2 \2 w; g# c6 n4 l# x! L
exp=c:\windows\system\msvbvm60.dll |
+ ^; C6 S q, g; b4、我在调试软件时,经常看到寄存器是EAX、EBX、ECX或AX、BX、CX等,这是怎么回事?; z/ O5 X5 x/ @& ]! y6 ?
因为win9x系统是一个16位和32位混合的操作系统,在这系统上能运行16位和32位的应用软件,所以你如调试不同位数的软件时,在寄存器上就反应出来了,EAX、EBX、ECX等是32位寄存器,而AX、BX、CX等是来表示16位寄存器。
/ T3 M, f6 A' k4 u3 p% g5、如何在TRW2000下拦截VB运行库中的函数?
* B. s$ {; ~8 X6 S9 b你要用TRW2000拦截Vb程序,需要用1.15版以上,将相应的VB运行库复制到TRW2000的DLL目录下,你也可用此法装载其它DLL文件。 a7 H: m4 N( v* @( A. I& E) Z
6、问:我只会用bpx hmemcpy来下断点,也看过看雪先生的教学文章,但对其他断点一直是一知半解,所以现在问题来了。 某些程序并没有输入注册码的地方,只在开始运行时弹出一个对话框,告诉你还剩多少天了,有延迟,这种软件一般怎么破解。如:LView pro、PaintShop pro等 2 N$ ]$ M' \/ @5 Q' m+ [9 v6 ^+ i
答:
5 d1 f8 ^1 D- m9 V, A' Q- C程序像一条竹竿,断点就是上面的结(当然是我们设定的)。选择一个好的断点有助于我们少走弯路。其实你说的情况,没有注册窗口,只有nag. 此时可能仍可以用bpx hmemcpy。此外,你可以采用其它方法。 2 B% c0 w6 X2 x* `% N3 _
以paint shop pro 5.01 evaluation为例。你用bpx hmemcpy是拦不住的。但还可以用如下几种方法。 $ k/ P. L8 ^/ v& u
1. 当nag窗口出现后,激活trw or softice,下断点bpx lockmytask(或bpx destroywindow),回到psp.exe,按下start按钮后程序就会阻断。再用F10 或 F12走。直到你见到如下结构。 : h/ x- O, k" c: ?3 [
cs:******** call ****** <-- 用F10带过这一步后会有延迟画面。
" z: e6 I1 m' J9 w' ?$ _# ]cs:******** test al, al <-- 此时你在这行。程序确定你按下的是何按钮
* ?& i* d% l3 y5 u. ^# C这时按下F6,你就可以找到这个call前的code,并在其上下断点。若在这之前有跳转,如jz,jnz等,你就可以想办法使nag窗口不出现。
0 ^6 _9 R& s2 o5 G* M( ? Z6 L2. 在这个nag窗口中,你会见到一些"版权宣言"及"你已经试用了*天,还有**天可以用"等的话。将之抄下,叫出trw 或softice,用 . Q) N4 Y/ Y$ D4 X
s 0 ffffffff "抄下的话"(trw) 或 * p, u$ ^: ~' |
s 0 L ffffffff "抄下的话"(SOFTICE)找到其调用的地址。下断点 bpm "找到的地址"来拦截,余下的同例1。
+ b3 H/ u( x) @8 R' l! x9 N3. 若程序主窗口完全出现后再有延迟窗口出现,你可以在主窗口出现,而延迟窗口还未出现之际强行叫出trw(ctrl+N) 或softice(ctrl+D),然后一步步走,直到你确定了延迟窗口出现的那行code.
$ s2 p2 C: a Q# }! H" ^$ z7 k4. 如程序没有被压缩、加壳。你可以用w32dasm等静态反汇编方法,在string reference中找到延迟窗口中的话,在这代码前下断点拦截。 2 r/ R/ X6 G6 e' ~0 g+ F( k/ t
以上简单介绍了几种方法,不知对你是否有帮助。 $ p0 A# g9 J* Q$ y" |" f7 k
7、问:命令"bpx regqueryvalueexa if *(esp->8)>='Soft' do "d(esp->14)"我看不大懂,您能给讲一下吗?多谢。
# G0 }) j) }" s' s: A( x& N6 R答:这个指令是一个复合指令,因为存注册码的键值是Softkey,其名字在[esp+8]中,其值在[esp+14]中. $ C( c0 e N4 n z
当其值等于或大于Soft(因为只允许4个字符,不能输全键名)时中断,就拦在读Softkey的那个Call.
1 x: w& _ Z, B/ o, W否则每次程序call regqueryvalueexa时都会被拦. + _8 [8 f6 q! f" ~0 b: j
拦住后,显示[esp+14]的内容.至于详细用法,你可以参考softice的用户手册,其中会解释*,
' A- O5 c& M/ M) Y& E->等内容的. 开始时只要照做,以后提高了再弄明白原理就可以了.
3 o- |$ a- m% K% Z8 g8、问:为什么用W32DASM反汇编不能显示中文信息? ' ^. x& E/ F& \+ r! z
答:wdasm是这样的,你可以用十六进制编辑器查找中文改为英文后再反汇编.
0 z; Z$ m; f: A+ i# D1 E% R9、问:请问如何修改TRW2000的字体颜色?
2 A ? q4 D9 z0 p3 N/ v答:在TRW2000命令下用ver blue。 . E& e7 X% V" P+ @
10、问:介绍一下Launcher Generator补丁制作工具 / l0 i8 T9 \3 P4 V
答:LGen的优点在于它可以控制何时Patch. 在运行它生成的Loader后,会出现一个提示窗,当按下OK按钮后,它才对目标程序做Patch.用法很简单,而且界面是GUI的.在http://ringzer0.cjb.net(它的老家,Tools项下)可以下载或者其它破解工具站点找. + T/ b, N9 _" U, c, K# T; H: [/ Q
11、问:我在用hiew改如下代码时:, V" t$ q: C6 g$ L
00469206 e877d5f9ff call 00406782
8 Q2 r6 I8 p' b& ?0 v. ` I0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx7 q9 O& ?- z3 Z+ D+ I: t% u" U9 T
我想屏蔽掉第一行:是否用 nop指令?我试了试,但修改后,发现第二行 变成了: 00469207 f4 hlt 是否对程序有影响,修改时必须保证源字节数?
: e; a+ N& q0 M# l5 p" Z答:当然有影响,你修改必须保证nop的字节=e877d5f9ff的字节:
: F6 c; B; ^1 J2 |( w + I6 H4 E8 ~# \- z2 N, q
00469206 e877d5f9ff call 00406782 这行要5个nop来填充即: 9090909090代替e877d5f9ff
$ K8 h9 ^. y+ f% |* [" r4 @9 t7 q4 T你在hiew中连续改5行后,这一行就会又正常了0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx 1 A5 h( ?. f# Z9 Q# N0 z) Q
12、问:我在破解时,追到一行这样的代码: 6 M& q. e% ~/ n2 g7 u/ l! V
00406582 0f84f1000000 je 000406679 T' m, V5 j8 l A# Y6 h; s
我想改变程序的方向,je改为jne后是否可以,如不是该怎样,请指教。 % O1 f8 Z( f( d, k4 |
另,在win32dasm中,我想改反汇编后的代码,如何改?是否得用别的16位编辑器,怎么用? [0 O* t- c. \4 {9 @! F
以上两个问题,困惑了我很久,请各位多指教,不胜感激!!!!!!!
4 e0 C9 ?; U9 ?4 Q) Z答: 0 e1 i& Z4 W* ?4 f
①00406582 0f84f1000000 je 000406679 $ W+ b* z2 C. o" y. n
你可在这一行,下A命令(进入小汇编状态),然后可输入你的正确的汇编代码,你在这可改为:jne 000406679 - ]2 x! Z! M6 c1 D
但TRW2000 demo版,此命令不能用,你可用SOFTICE来完成这工作。
) K- l8 {7 I2 T& g t1 |但我推荐你可在这一行,在TRW2000或SOFTICE下命令:r fl z
2 W! U$ X- Z1 D! v. G这样就可改变跳转指令。
/ p* o# R& r6 B/ p/ vfl是标志寄存器,r命令修改此寄存器相关的值,具体参考SOFTICE手册和汇编书籍。
0 A, J1 w: s, y% y在win32dasm中不能改变程序代码,你可用16进制工具来完成,推荐用hiew来完成。
7 g9 d9 a$ x) X) e* e0 T②也可以在trw中,用鼠标移动到愈修改代码出,直接修改,如75变74,即jnz->jz
" Q6 R( B8 p8 A0 Y ( Q8 z1 D8 r9 r' |. k# y: x$ @1 E
③在trw中,下命令e adress [欲修改之代码] ! s2 g. C4 A: b% ~% Q1 m' ~
14、问:在汇编语言中,"[]"的用法?如:
! ?+ b. _, J3 w E1、push dword ptr [024c1100]
# w7 p: R# @, \5 T2 @8 k% Q2、cmp eax,[ebp+14] 7 w1 |1 j* w5 {4 P; T
3、cmp byte ptr [eax],46
% ~4 [1 X" P x1 \* f, D( K$ d* _4、lea eax,[edx-02]
5 o* O9 \" W* }4 J* \5、mov ecx,[edx+08]
* ]: G) l3 M8 q/ y其中"[]"里的内容,什么时候表示的是值,什么时候表示的是地址,为什么?第4个是不是把"edx-02"的值作为地址送给eax???
& y |* ]1 R# ~, M另一个问题是:我发现在soft-ice中,在寄存器区(即最上面的那个区,标志位下面)的右下脚有一个类似:"ds:xxxxxxxx=xxxxxxxx"的字样,时隐时现,并不断变化,不知是干什么用的,请指教,不胜感激!!!!!!!! 7 ^4 W( d( B& K9 s! ]
答:
2 Y, b2 _) R3 l. r0 F) Z①右下角显示的那个是当前指令要操作的内存的地址及内容 。2 P- ?4 d3 A6 y! I3 C
lea指令表示取有效地址,第4个是把"edx-02"的值送给eax。 ! G1 R2 ?8 l8 m4 J; Q% Y8 C
②
2 v; y* z Z7 @( W0 y! C1,压栈024c1100值的双字 & S0 C, ~( r- d" w- l
2,eax-ebp+14的有效值,不保留值,主要看标志位。
% ?" I) n0 v6 N) [! O8 i+ e, {0 f1 O3,字节型eax-46,看标志位 " G6 i. M }& \- f: N
4,把edx-02的有效值给eax ' _8 |. e- j3 D
5,edx+8处值作为地址,此地址的值给ecx . g0 i1 m% i+ I, {& m
15、问:能否推荐几本书?
* O' v3 R& f& @4 {答:
* c: a1 s% m/ @4 h. K; C6 H+ e: v1、《Win95系统编程奥秘》在这里:http://www.multimania.com/mpietreks2/
" t8 f- h% @: Q8 A8 m! v) z& a2、《Thinking in C++》:http://www.bruceeckel.com/ThinkingInCPP2e.html
" V. h. [6 [$ p. G. m2 z: _3、《Art of ASM》简直是汇编大全,http://win32asm.cjb.net或 http://personales.com/eeuu/arizona/Aesculapius/ebooks.html 或http://huizen.dds.nl/~books/。
3 j+ F9 f2 f9 e: r& ~% m. B3 V4、 http://proxy.spaceproxy.com/-_-http://personales.com/eeuu/arizona/Aesculapius/files.html % V0 m) N! V$ V
5、 4 z& L/ D' S! |- Q! t2 T: Q
16、问:我是初学者。用softice拦下后。f12转到那个领空。但那个领空有什么特征?怎样看?我不明白。 以hiew为例。我试了很多次。f12从头按到尾都看不到哪里标着hiew的。
3 h L, K9 _ V1 @答:你换个图形界面的windows程序试试,不要用hiew,f12并不是转到那个领空,F12是跳出子程序,如: 0 o" t# _! S# i# F4 A
mov eax,1
, N3 e/ H0 f- minc eax 1 y3 z5 K1 N# w% p+ O8 d
ret---------你在这段程序中按F12,就跳出此子程序,从RET处返回到上一程序中去。你如多按F12就等于跳出多个子程序,其实你用F10也能达到这一目的,F10来到inc eax,再按F10,执行RET一行,结果和你按F12一样的,只是F12更省事。
% @( K* q8 c! E! W5 ^9 x6 [+ X, I领空是一形象说法,说明SOFTICE目前调试的程序代码是哪个程序的,一般会在SOFTICE屏幕下的三分之一处会有一光条线,中间有文件名,如:
: d. G' h* Z8 K- R4 B------------------------ACDSEE!CODE+???------------------------
' A) q1 O+ ~: P s$ R这表明目前SOFTICE是在ACDSEE程序的代码处,是ACDSEE.EXE不是ACDSEE.DLL就不知了,要具体分析 / y! c u0 W# }; E/ h& ~; G
9 O. A, z) i; H6 {4 Y- W$ r4 X0 ]
| 
IP卡
狗仔卡
发表于 2005-3-20 13:40
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
