|
来源:看雪学院
' U9 p4 |' e8 `" |# N) L" S0 t, |7 h+ H6 l
. @8 d; }- y7 o2 y" s- e( ^
4 l5 b X. X4 y M: [/ |1 p; \2 n/ d( r! t$ H: v( ~# D" y
| 我系统是win9x,每次SOFTICE都自动装载,在windows下一按CTRL+D自动激活它,有什么办法解决? |
6 \5 X! q% n7 P, y1 r
' L- b8 v( h: o& k N! m: d| 这是SOFTICE安装时默认时改变了AUTOEXEC.BAT,自动加了一行wince.exe。每次系统启动时自动运行AUTOEXEC.BAT时将SOFTICE装载,你只要去掉这一行,问题就解决了。在你需要用SOFTICE时,在纯DOS环境下,在SOFTICE目录执行winice.exe文件即可装载。你也可自建一批处理命令来在纯DOS下装载SOFTICE。 | * ?( k7 |! l% y T8 o2 Z
$ S0 s- r; q5 F% ]( b3 l' m3 i8 U" J; u% u
8 a4 t$ N+ u" d9 n* ?/ }! B
; S2 U( y6 u7 D. e| 2、如何知道软件是被什么加的密? |
2 `* u! O( q9 @6 N- M2 Z+ e( z' ?" s- n& L! U
| 用TYP或GetTyp侦测文件类型或用procdump查看文件的section就可以知道用什么加密 . |
3 s2 b- y5 g2 ~/ g3 V' N4 q' M7 Q9 O
* @. _/ e8 H& Q
) @8 \# ]. K. c* ?' Y! m% B7 p5 F8 ^8 \) x; U6 i% ?5 K& }
. ~0 H% h. m' u# y0 R+ q1 U
| 3、经常看到脱壳时下命令bpx loadlibrarya, 下命令后SOFTICE告知未定义,我的SOFTICE怎么拦不住? | ; P8 e' v/ C; S2 }' B6 Y7 }6 [
+ F' @1 z0 h+ @; J3 f6 s| 在 softice 的目录下有一个文件叫 winice.dat ' B v# F- o k8 i
其实是个文本文件,将这文件的最后几行把他改成如下 :" t5 k) F: S# T, k6 i3 H
前面有分号的就是注解,把后面有 *32.dll 的方号去掉就行了 - S( k- {% [4 k3 N- h. ~0 {
顺便加上 vb5, vb6 的 dll, 也可拦 vb 的 function 了 , I7 I8 l, ]4 v; l s; }: [
EXP=c:\windows\system\kernel32.dll
. H m: G# r! Y+ @5 s, f* xEXP=c:\windows\system\user32.dll
- N; X# U& G; D! X7 R0 ]EXP=c:\windows\system\gdi32.dll
; y6 D8 T3 ]- D; aEXP=c:\windows\system\comdlg32.dll 2 w$ b: \1 j4 y; F
EXP=c:\windows\system\shell32.dll
' j- r: _: p% {2 H. GEXP=c:\windows\system\advapi32.dll 4 |( B& S, `8 I E0 L
EXP=c:\windows\system\shell232.dll @& h2 N3 E H( i. w2 Q
EXP=c:\windows\system\comctl32.dll 5 k3 `# a7 j7 g3 D8 ~) X3 T
;EXP=c:\windows\system\crtdll.dll
6 x+ r( @: n# w9 x l;EXP=c:\windows\system\version.dll ! O, ~: o' q U; G
EXP=c:\windows\system\netlib32.dll 9 D; V$ m7 U# y+ R- R. s6 n
;EXP=c:\windows\system\msshrui.dll 3 z; Z! a$ I6 t1 v
EXP=c:\windows\system\msnet32.dll ( m9 T# Z" i) h1 ^
EXP=c:\windows\system\mspwl32.dll
; a5 L! S- a8 I' Y' C8 i% _;EXP=c:\windows\system\mpr.dll
9 r1 h5 g' T G: a8 ]exp=c:\soft\95logo3\vb40032.dll 2 A# P1 v; K: k) u: c
exp=c:\windows\system\msvbvm50.dll
1 B C3 k" ^+ m: C% [5 lexp=c:\windows\system\msvbvm60.dll |
/ M! \; Y# ^* O6 ^ f' c0 S4 F4、我在调试软件时,经常看到寄存器是EAX、EBX、ECX或AX、BX、CX等,这是怎么回事?' @ A$ }7 P6 x t3 F5 }
因为win9x系统是一个16位和32位混合的操作系统,在这系统上能运行16位和32位的应用软件,所以你如调试不同位数的软件时,在寄存器上就反应出来了,EAX、EBX、ECX等是32位寄存器,而AX、BX、CX等是来表示16位寄存器。
. N5 P! N8 }# w+ g+ v; Q5 G5、如何在TRW2000下拦截VB运行库中的函数?
! C# G+ Y0 c- q) M5 x你要用TRW2000拦截Vb程序,需要用1.15版以上,将相应的VB运行库复制到TRW2000的DLL目录下,你也可用此法装载其它DLL文件。 4 W- A4 y- r! Z1 D7 Y% \
6、问:我只会用bpx hmemcpy来下断点,也看过看雪先生的教学文章,但对其他断点一直是一知半解,所以现在问题来了。 某些程序并没有输入注册码的地方,只在开始运行时弹出一个对话框,告诉你还剩多少天了,有延迟,这种软件一般怎么破解。如:LView pro、PaintShop pro等
; s; q5 O' @3 X# I4 r. S答:: O) ~' t" `7 a
程序像一条竹竿,断点就是上面的结(当然是我们设定的)。选择一个好的断点有助于我们少走弯路。其实你说的情况,没有注册窗口,只有nag. 此时可能仍可以用bpx hmemcpy。此外,你可以采用其它方法。
/ R3 p* [. |# U. V以paint shop pro 5.01 evaluation为例。你用bpx hmemcpy是拦不住的。但还可以用如下几种方法。
& V+ u2 ?5 n1 i8 W% d0 q! I$ o1. 当nag窗口出现后,激活trw or softice,下断点bpx lockmytask(或bpx destroywindow),回到psp.exe,按下start按钮后程序就会阻断。再用F10 或 F12走。直到你见到如下结构。
3 Y6 u" m0 S1 Z* b5 D+ B! R% ~cs:******** call ****** <-- 用F10带过这一步后会有延迟画面。
& q" {" O% Z* F% |9 L) Q4 j2 |cs:******** test al, al <-- 此时你在这行。程序确定你按下的是何按钮
7 x& t# H' w$ I, {% u6 w这时按下F6,你就可以找到这个call前的code,并在其上下断点。若在这之前有跳转,如jz,jnz等,你就可以想办法使nag窗口不出现。 5 k9 a0 T6 ]) f& T1 r
2. 在这个nag窗口中,你会见到一些"版权宣言"及"你已经试用了*天,还有**天可以用"等的话。将之抄下,叫出trw 或softice,用 ( L* t$ s1 H. ^( }; c
s 0 ffffffff "抄下的话"(trw) 或 ! ?- f9 c- F2 t8 [
s 0 L ffffffff "抄下的话"(SOFTICE)找到其调用的地址。下断点 bpm "找到的地址"来拦截,余下的同例1。
( b0 v& X" C9 f' z9 H3 ~! Q! `3. 若程序主窗口完全出现后再有延迟窗口出现,你可以在主窗口出现,而延迟窗口还未出现之际强行叫出trw(ctrl+N) 或softice(ctrl+D),然后一步步走,直到你确定了延迟窗口出现的那行code. ; P& \1 R/ U2 ~- q
4. 如程序没有被压缩、加壳。你可以用w32dasm等静态反汇编方法,在string reference中找到延迟窗口中的话,在这代码前下断点拦截。
7 b2 Z3 b7 ?' a, b7 k0 Y5 M& _以上简单介绍了几种方法,不知对你是否有帮助。
% c! G$ {) v2 r# C' D3 ]) ^2 C7、问:命令"bpx regqueryvalueexa if *(esp->8)>='Soft' do "d(esp->14)"我看不大懂,您能给讲一下吗?多谢。 , W$ B+ B: X& k3 p! ~4 u% @+ e# P
答:这个指令是一个复合指令,因为存注册码的键值是Softkey,其名字在[esp+8]中,其值在[esp+14]中. % j1 M$ h" k* g. L5 h
当其值等于或大于Soft(因为只允许4个字符,不能输全键名)时中断,就拦在读Softkey的那个Call.
9 g3 V7 t+ M9 F6 ]: n2 d1 R& S& _否则每次程序call regqueryvalueexa时都会被拦.
/ }$ G9 }" Y7 ~拦住后,显示[esp+14]的内容.至于详细用法,你可以参考softice的用户手册,其中会解释*, / B7 u3 ^5 [" t7 R6 K
->等内容的. 开始时只要照做,以后提高了再弄明白原理就可以了.
3 H8 O3 T: O. [( \8、问:为什么用W32DASM反汇编不能显示中文信息?
# ?) _* G- @8 b9 b% p; ]! g答:wdasm是这样的,你可以用十六进制编辑器查找中文改为英文后再反汇编. ) P! M0 u$ W; W! d
9、问:请问如何修改TRW2000的字体颜色? 9 O1 z5 P$ u# T$ A6 X
答:在TRW2000命令下用ver blue。 , d5 [) [' u# M. [, {+ Q
10、问:介绍一下Launcher Generator补丁制作工具 ( f6 {: a' l+ C; h. E
答:LGen的优点在于它可以控制何时Patch. 在运行它生成的Loader后,会出现一个提示窗,当按下OK按钮后,它才对目标程序做Patch.用法很简单,而且界面是GUI的.在http://ringzer0.cjb.net(它的老家,Tools项下)可以下载或者其它破解工具站点找.
) j0 j; P8 S9 ]6 B. \& B: `( i11、问:我在用hiew改如下代码时:
7 S4 K2 G5 K, z; D/ b00469206 e877d5f9ff call 00406782 4 G) V: e& ^' r- P/ H# T5 f A6 @
0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx+ g* C8 t$ }+ u3 _" M; g: o
我想屏蔽掉第一行:是否用 nop指令?我试了试,但修改后,发现第二行 变成了: 00469207 f4 hlt 是否对程序有影响,修改时必须保证源字节数? & U5 S7 Q/ F, C6 |* \( b: [7 N
答:当然有影响,你修改必须保证nop的字节=e877d5f9ff的字节:
$ }6 u l% Y U: n5 i" L/ n$ u
" r/ z. r9 z& j- `* }; r' t y00469206 e877d5f9ff call 00406782 这行要5个nop来填充即: 9090909090代替e877d5f9ff
) R+ x7 c' n% u8 Y' F- I你在hiew中连续改5行后,这一行就会又正常了0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx 7 `, S6 ]; W+ h/ w% X& R6 a/ \
12、问:我在破解时,追到一行这样的代码:
. N1 q, q+ r5 x3 K* k00406582 0f84f1000000 je 000406679
* x m5 Y! z% t1 {我想改变程序的方向,je改为jne后是否可以,如不是该怎样,请指教。 7 y5 x5 y! W$ ?4 K8 ^% f
另,在win32dasm中,我想改反汇编后的代码,如何改?是否得用别的16位编辑器,怎么用? " U& B+ Z5 ~3 f* a5 M$ W7 B0 W
以上两个问题,困惑了我很久,请各位多指教,不胜感激!!!!!!!
! N3 r! b6 d! f7 v% p- y) T8 l答: 0 ~9 }3 Z" G: o O- d
①00406582 0f84f1000000 je 000406679
7 s* \' y. Y$ e, P你可在这一行,下A命令(进入小汇编状态),然后可输入你的正确的汇编代码,你在这可改为:jne 000406679
* k* w1 h6 U* c* T, b# z x但TRW2000 demo版,此命令不能用,你可用SOFTICE来完成这工作。 , i1 h8 q' v; S/ h9 g: u: j) [
但我推荐你可在这一行,在TRW2000或SOFTICE下命令:r fl z ) i+ d8 i7 t0 v$ f( j* s: R
这样就可改变跳转指令。 . d. N# |( j8 u0 Q) i; i$ V5 D( b, Q
fl是标志寄存器,r命令修改此寄存器相关的值,具体参考SOFTICE手册和汇编书籍。
: I4 z; n$ ~4 ]* ?. Y0 `. F在win32dasm中不能改变程序代码,你可用16进制工具来完成,推荐用hiew来完成。
/ T! O' x5 y6 D# k/ D, F②也可以在trw中,用鼠标移动到愈修改代码出,直接修改,如75变74,即jnz->jz& z! R3 J: q5 I/ N+ Q
! a2 N$ w# o: x! g
③在trw中,下命令e adress [欲修改之代码] & C2 i1 Z, P: }/ o* T
14、问:在汇编语言中,"[]"的用法?如: " a' K, m `* [' Z2 J( Q" H
1、push dword ptr [024c1100] 6 a1 f2 x7 y2 |& Q5 `! M5 o& {7 p) f
2、cmp eax,[ebp+14]
; s5 d* v% [3 n6 s0 s9 [8 s. c3、cmp byte ptr [eax],46 ! g# S- r4 X! v4 ]4 B3 O, ^
4、lea eax,[edx-02]
# h& ^2 `9 ^" o% Z# \5、mov ecx,[edx+08]
* D; F- \, K1 L) U+ p其中"[]"里的内容,什么时候表示的是值,什么时候表示的是地址,为什么?第4个是不是把"edx-02"的值作为地址送给eax??? 7 b% t+ t4 w5 ]+ ~6 X
另一个问题是:我发现在soft-ice中,在寄存器区(即最上面的那个区,标志位下面)的右下脚有一个类似:"ds:xxxxxxxx=xxxxxxxx"的字样,时隐时现,并不断变化,不知是干什么用的,请指教,不胜感激!!!!!!!! . I# i4 E/ s% F$ g3 l* J
答: 8 F8 H2 W$ ?$ A& X
①右下角显示的那个是当前指令要操作的内存的地址及内容 。
/ i8 I9 T" M/ M4 o8 l! g4 Elea指令表示取有效地址,第4个是把"edx-02"的值送给eax。 & ~1 z3 \! {, Z: e5 M
②- j& l* ~8 h% P% j9 i! n
1,压栈024c1100值的双字
4 M+ v: f! \2 | R' _, U$ r: ?2,eax-ebp+14的有效值,不保留值,主要看标志位。
6 T2 V p- N; D3,字节型eax-46,看标志位 ; U5 {9 s: Z7 L- Z
4,把edx-02的有效值给eax ( A3 a& z. y% t
5,edx+8处值作为地址,此地址的值给ecx 6 B* k& Q2 ]& }1 O! Q; @" {
15、问:能否推荐几本书? % E- d: B5 {& U* p. e; C/ B
答: 8 i& i( m4 F2 H& F& F& h, [, e
1、《Win95系统编程奥秘》在这里:http://www.multimania.com/mpietreks2/
/ i' @( K5 P# b2、《Thinking in C++》:http://www.bruceeckel.com/ThinkingInCPP2e.html 6 G4 v- ^/ v9 u8 ` ?/ A
3、《Art of ASM》简直是汇编大全,http://win32asm.cjb.net或 http://personales.com/eeuu/arizona/Aesculapius/ebooks.html 或http://huizen.dds.nl/~books/。 + G k1 @, m2 B+ B- D/ P
4、 http://proxy.spaceproxy.com/-_-http://personales.com/eeuu/arizona/Aesculapius/files.html
; @- D; W: s& o( S* O' x7 d9 Y5、
8 y& v: I$ I4 C" s1 D0 t2 h+ @16、问:我是初学者。用softice拦下后。f12转到那个领空。但那个领空有什么特征?怎样看?我不明白。 以hiew为例。我试了很多次。f12从头按到尾都看不到哪里标着hiew的。
5 ^6 Z/ W5 X; ^答:你换个图形界面的windows程序试试,不要用hiew,f12并不是转到那个领空,F12是跳出子程序,如: ; v3 O5 l( e8 Q5 M( h
mov eax,1 5 V% J r S5 ]+ z; u6 h
inc eax
8 a7 I* E4 P5 k1 S" w, Iret---------你在这段程序中按F12,就跳出此子程序,从RET处返回到上一程序中去。你如多按F12就等于跳出多个子程序,其实你用F10也能达到这一目的,F10来到inc eax,再按F10,执行RET一行,结果和你按F12一样的,只是F12更省事。
+ _ {: Z; ~; Z3 k. w" A领空是一形象说法,说明SOFTICE目前调试的程序代码是哪个程序的,一般会在SOFTICE屏幕下的三分之一处会有一光条线,中间有文件名,如: * r8 V: J1 S: W+ T* Y% \/ K9 _7 I
------------------------ACDSEE!CODE+???------------------------
1 x) H9 {) R9 O这表明目前SOFTICE是在ACDSEE程序的代码处,是ACDSEE.EXE不是ACDSEE.DLL就不知了,要具体分析
, V6 }& Z1 T1 }. M; s
& M) v3 \. ^, t: A+ B; I | 
IP卡
狗仔卡
发表于 2005-3-20 13:40
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
