|
来源:看雪学院
6 O" L+ J3 t/ Q! X# G7 r5 ]8 G& V7 b/ j: Q2 x: Q
& u0 d3 T* C' \! W4 h5 Y& r7 r2 S; _! I4 E
; H: `" J R, C| 我系统是win9x,每次SOFTICE都自动装载,在windows下一按CTRL+D自动激活它,有什么办法解决? |
9 Q0 n. t& U; f" d! u; m* |9 q" y' }$ L. Y, N
| 这是SOFTICE安装时默认时改变了AUTOEXEC.BAT,自动加了一行wince.exe。每次系统启动时自动运行AUTOEXEC.BAT时将SOFTICE装载,你只要去掉这一行,问题就解决了。在你需要用SOFTICE时,在纯DOS环境下,在SOFTICE目录执行winice.exe文件即可装载。你也可自建一批处理命令来在纯DOS下装载SOFTICE。 |
7 k: c! G! U2 o6 `( X- v* O% Y, o+ E w
, t% O8 Q, {4 g% \/ e; [
+ s, D. S. L# a l! ]2 Y" `1 q; J; P
* N9 Q8 ^7 U* [% V! ^
| 2、如何知道软件是被什么加的密? | & f2 |4 `1 F) p v. o" x2 Z
# E2 A) w2 {( F+ k- ` |+ ?! t& d| 用TYP或GetTyp侦测文件类型或用procdump查看文件的section就可以知道用什么加密 . | : q( s/ a/ ~* n5 q$ i
0 F! M8 @" F* W; Y. B- k
$ j" F, u3 m; V7 p6 n8 g, c9 x# w
3 w, ]! m; l3 }! Q$ k3 Y! ~) J5 V4 D' R1 F% o( C
| 3、经常看到脱壳时下命令bpx loadlibrarya, 下命令后SOFTICE告知未定义,我的SOFTICE怎么拦不住? |
0 ?: Z" P2 Q) d5 v+ [) \ _6 D2 J+ W0 ]9 z1 x/ W T- E9 z
| 在 softice 的目录下有一个文件叫 winice.dat * ]9 {# q6 A; J, |" b
其实是个文本文件,将这文件的最后几行把他改成如下 :
$ U4 ]- ^- Y- c6 M: B前面有分号的就是注解,把后面有 *32.dll 的方号去掉就行了
8 B, I$ J8 o: d4 a; @* M顺便加上 vb5, vb6 的 dll, 也可拦 vb 的 function 了
1 C1 z2 b, W# t8 c, ^+ g9 H EXP=c:\windows\system\kernel32.dll
: T" \* U6 l) D( wEXP=c:\windows\system\user32.dll v( L8 `2 }9 T5 ~( L8 d- S
EXP=c:\windows\system\gdi32.dll * C% b$ u- A6 _" R9 {6 D; ^
EXP=c:\windows\system\comdlg32.dll
. o- d& V' j6 S9 P6 C8 V( U# O% Z, cEXP=c:\windows\system\shell32.dll ) |, Q: ] X3 M
EXP=c:\windows\system\advapi32.dll ; y8 ?& C5 _+ j" E: w
EXP=c:\windows\system\shell232.dll * K3 ` K* i) @" B
EXP=c:\windows\system\comctl32.dll , C6 m- J7 N. Z3 W( f: C) z- C( O
;EXP=c:\windows\system\crtdll.dll $ w: o1 P8 h4 `! ]
;EXP=c:\windows\system\version.dll
/ d# B# \. e2 qEXP=c:\windows\system\netlib32.dll ! }7 w4 F% k4 {4 N3 U7 \
;EXP=c:\windows\system\msshrui.dll
- O: }4 K0 L4 d7 q1 `3 _: BEXP=c:\windows\system\msnet32.dll
9 h" G5 F$ B6 a0 AEXP=c:\windows\system\mspwl32.dll # \$ g' o# |+ Q/ f' n' S
;EXP=c:\windows\system\mpr.dll
T1 ~8 H5 L, i5 R; i8 oexp=c:\soft\95logo3\vb40032.dll
& v) {, U! j$ K# ?# Uexp=c:\windows\system\msvbvm50.dll 2 c( u% ]& F) P+ W& ^+ G B6 Z/ k
exp=c:\windows\system\msvbvm60.dll |
% @# b6 ?; \! `. ~4、我在调试软件时,经常看到寄存器是EAX、EBX、ECX或AX、BX、CX等,这是怎么回事?
\' f, r9 c9 J% m% w; m# x因为win9x系统是一个16位和32位混合的操作系统,在这系统上能运行16位和32位的应用软件,所以你如调试不同位数的软件时,在寄存器上就反应出来了,EAX、EBX、ECX等是32位寄存器,而AX、BX、CX等是来表示16位寄存器。 9 M; K) U8 D% v6 e/ `
5、如何在TRW2000下拦截VB运行库中的函数?
# Q" b5 t& g$ m- D" J3 |你要用TRW2000拦截Vb程序,需要用1.15版以上,将相应的VB运行库复制到TRW2000的DLL目录下,你也可用此法装载其它DLL文件。
# U" R5 N8 \8 [( x6、问:我只会用bpx hmemcpy来下断点,也看过看雪先生的教学文章,但对其他断点一直是一知半解,所以现在问题来了。 某些程序并没有输入注册码的地方,只在开始运行时弹出一个对话框,告诉你还剩多少天了,有延迟,这种软件一般怎么破解。如:LView pro、PaintShop pro等 : R9 `: n! \( p7 D
答:/ S+ U7 H, o" D3 x0 ]
程序像一条竹竿,断点就是上面的结(当然是我们设定的)。选择一个好的断点有助于我们少走弯路。其实你说的情况,没有注册窗口,只有nag. 此时可能仍可以用bpx hmemcpy。此外,你可以采用其它方法。 ( E6 \7 [3 y. s5 c* b4 i
以paint shop pro 5.01 evaluation为例。你用bpx hmemcpy是拦不住的。但还可以用如下几种方法。
& V1 ]( j9 S: [% o" Z7 ~- ?5 R1. 当nag窗口出现后,激活trw or softice,下断点bpx lockmytask(或bpx destroywindow),回到psp.exe,按下start按钮后程序就会阻断。再用F10 或 F12走。直到你见到如下结构。 0 D& _9 b0 A; {/ E# |) q _" G
cs:******** call ****** <-- 用F10带过这一步后会有延迟画面。 5 R2 Z& b; F6 I- q$ e d( \. s- k
cs:******** test al, al <-- 此时你在这行。程序确定你按下的是何按钮 % o6 `$ c/ v1 W/ z+ V
这时按下F6,你就可以找到这个call前的code,并在其上下断点。若在这之前有跳转,如jz,jnz等,你就可以想办法使nag窗口不出现。
7 B. D# v( w1 F2. 在这个nag窗口中,你会见到一些"版权宣言"及"你已经试用了*天,还有**天可以用"等的话。将之抄下,叫出trw 或softice,用 7 f0 A" e) F) V1 R6 Y( N
s 0 ffffffff "抄下的话"(trw) 或
; D) r8 L2 Y6 @; [: v) x3 b xs 0 L ffffffff "抄下的话"(SOFTICE)找到其调用的地址。下断点 bpm "找到的地址"来拦截,余下的同例1。
3 i1 o5 W& h2 a8 t3. 若程序主窗口完全出现后再有延迟窗口出现,你可以在主窗口出现,而延迟窗口还未出现之际强行叫出trw(ctrl+N) 或softice(ctrl+D),然后一步步走,直到你确定了延迟窗口出现的那行code.
) ?9 v" l/ G4 `( Y4. 如程序没有被压缩、加壳。你可以用w32dasm等静态反汇编方法,在string reference中找到延迟窗口中的话,在这代码前下断点拦截。
6 Y1 y( r* G- B4 U+ I, d8 g/ I, a以上简单介绍了几种方法,不知对你是否有帮助。 $ _# p. u1 Y7 d2 s. \' _ K) o! x7 Z( v
7、问:命令"bpx regqueryvalueexa if *(esp->8)>='Soft' do "d(esp->14)"我看不大懂,您能给讲一下吗?多谢。
: W; v& e7 e- Q$ K5 f( h答:这个指令是一个复合指令,因为存注册码的键值是Softkey,其名字在[esp+8]中,其值在[esp+14]中.
5 f9 e9 D ~4 r B. N5 B/ e当其值等于或大于Soft(因为只允许4个字符,不能输全键名)时中断,就拦在读Softkey的那个Call. . N$ Z7 {: O6 X/ o$ g+ ?0 h ?& a
否则每次程序call regqueryvalueexa时都会被拦. " J5 _0 Y9 F: U9 o# k8 n0 T$ ]2 M
拦住后,显示[esp+14]的内容.至于详细用法,你可以参考softice的用户手册,其中会解释*, 7 W% Q+ Y6 K0 v7 P9 a( O0 ]
->等内容的. 开始时只要照做,以后提高了再弄明白原理就可以了.
1 z9 N* I+ z+ N5 z. O6 [8、问:为什么用W32DASM反汇编不能显示中文信息?
% H0 p0 G. M# X3 o# @3 j% h答:wdasm是这样的,你可以用十六进制编辑器查找中文改为英文后再反汇编. ) I r' i3 o$ e* Q( i+ w
9、问:请问如何修改TRW2000的字体颜色? . ~/ _( B- a% c+ h& A5 c# B$ P
答:在TRW2000命令下用ver blue。
2 |4 L+ S- |7 [% m* {10、问:介绍一下Launcher Generator补丁制作工具 / [7 K( d, p Y9 i
答:LGen的优点在于它可以控制何时Patch. 在运行它生成的Loader后,会出现一个提示窗,当按下OK按钮后,它才对目标程序做Patch.用法很简单,而且界面是GUI的.在http://ringzer0.cjb.net(它的老家,Tools项下)可以下载或者其它破解工具站点找.
8 M* v, c1 f1 W/ A' ` `4 x% O11、问:我在用hiew改如下代码时:6 o; l4 P; ^! m3 k
00469206 e877d5f9ff call 00406782
1 J# S' U* d2 B& M: J" H, I0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx4 k5 e; d7 F& A V# h
我想屏蔽掉第一行:是否用 nop指令?我试了试,但修改后,发现第二行 变成了: 00469207 f4 hlt 是否对程序有影响,修改时必须保证源字节数? * `( `# T6 j$ M8 \7 n. a Z
答:当然有影响,你修改必须保证nop的字节=e877d5f9ff的字节:
2 t( r% }0 Y! H9 u% z: l, } ( d4 `3 j( k( d2 @3 N6 f2 i
00469206 e877d5f9ff call 00406782 这行要5个nop来填充即: 9090909090代替e877d5f9ff ! Z1 A! h0 ^; |* E1 E# U
你在hiew中连续改5行后,这一行就会又正常了0046920b 391d3c844e00 cmp dword ptr [004e843c],ebx / K; G* H% ^+ b; S3 a
12、问:我在破解时,追到一行这样的代码: 4 F$ ]* ]6 I/ w' ^6 C' T
00406582 0f84f1000000 je 000406679 . M4 r) A, G) q5 f5 `; n
我想改变程序的方向,je改为jne后是否可以,如不是该怎样,请指教。 : g2 V3 m2 Y% ~( A( E
另,在win32dasm中,我想改反汇编后的代码,如何改?是否得用别的16位编辑器,怎么用? 1 o: }; }; R% W( \1 r
以上两个问题,困惑了我很久,请各位多指教,不胜感激!!!!!!! . Y( z6 ?: G5 d7 A5 T7 N
答: . y/ e' f+ j5 S5 p& d
①00406582 0f84f1000000 je 000406679
# [% n3 [; j3 Y: Y你可在这一行,下A命令(进入小汇编状态),然后可输入你的正确的汇编代码,你在这可改为:jne 000406679 * e2 U; d7 C2 r' T
但TRW2000 demo版,此命令不能用,你可用SOFTICE来完成这工作。 ) A4 d1 q1 p8 E `7 d# N
但我推荐你可在这一行,在TRW2000或SOFTICE下命令:r fl z f k5 l/ o5 e
这样就可改变跳转指令。 # P; v* ^- P& Z5 |1 b% [4 }
fl是标志寄存器,r命令修改此寄存器相关的值,具体参考SOFTICE手册和汇编书籍。
! Q; b$ t8 _; g$ e# t4 l4 a: M在win32dasm中不能改变程序代码,你可用16进制工具来完成,推荐用hiew来完成。
; a% p$ o; s Y1 a" M②也可以在trw中,用鼠标移动到愈修改代码出,直接修改,如75变74,即jnz->jz% ^8 [" e [. z2 A8 {
' A0 ]% F& r8 F
③在trw中,下命令e adress [欲修改之代码] / n) h+ g a, e6 c+ C
14、问:在汇编语言中,"[]"的用法?如: # J/ h, f' A6 \9 @
1、push dword ptr [024c1100]
- `6 t/ G5 p8 J' u" j2、cmp eax,[ebp+14] 0 {2 I1 M- P8 I" h2 D' Z
3、cmp byte ptr [eax],46
3 h+ s9 e [& H0 r$ c4、lea eax,[edx-02]
7 ~+ i/ Y3 J7 y) B) X5、mov ecx,[edx+08] $ J- G5 }; \% g1 E6 N- J
其中"[]"里的内容,什么时候表示的是值,什么时候表示的是地址,为什么?第4个是不是把"edx-02"的值作为地址送给eax??? 6 H; s) p. T4 ?1 [, {7 t0 D
另一个问题是:我发现在soft-ice中,在寄存器区(即最上面的那个区,标志位下面)的右下脚有一个类似:"ds:xxxxxxxx=xxxxxxxx"的字样,时隐时现,并不断变化,不知是干什么用的,请指教,不胜感激!!!!!!!!
* O( s! u" Y5 l% U9 Y! x答: ' f* \% n1 t2 H* s+ Y& L# k. k
①右下角显示的那个是当前指令要操作的内存的地址及内容 。
) b% y) A1 W( Z1 I% rlea指令表示取有效地址,第4个是把"edx-02"的值送给eax。 8 V+ p, p* P1 \) ]( q
②
- D( S! b6 B- s' Q1,压栈024c1100值的双字 0 T/ `) e5 w8 Q
2,eax-ebp+14的有效值,不保留值,主要看标志位。 ! P7 ]. o' ]' U. @6 }; ^& j
3,字节型eax-46,看标志位
" m5 i1 c. h5 Q4,把edx-02的有效值给eax 4 E1 {5 e. t' c; c: j
5,edx+8处值作为地址,此地址的值给ecx * v/ }0 C* W- c2 X) Q
15、问:能否推荐几本书? # _% b! V2 @2 I8 D4 i$ G0 \
答:
" R: Z3 Z7 F% I5 M" z: c3 M1、《Win95系统编程奥秘》在这里:http://www.multimania.com/mpietreks2/ 9 T" e; s. }5 P t4 D, z+ Q0 Z. h
2、《Thinking in C++》:http://www.bruceeckel.com/ThinkingInCPP2e.html
9 H$ b6 d" i: h( P0 r9 S3、《Art of ASM》简直是汇编大全,http://win32asm.cjb.net或 http://personales.com/eeuu/arizona/Aesculapius/ebooks.html 或http://huizen.dds.nl/~books/。 ( A) J% t' l7 G" O. A% O
4、 http://proxy.spaceproxy.com/-_-http://personales.com/eeuu/arizona/Aesculapius/files.html
5 z$ v" F1 S* d6 c/ q U( j5、 ' M5 x: V B8 R) U3 q0 P1 e
16、问:我是初学者。用softice拦下后。f12转到那个领空。但那个领空有什么特征?怎样看?我不明白。 以hiew为例。我试了很多次。f12从头按到尾都看不到哪里标着hiew的。 4 A- }( F9 K. k" A
答:你换个图形界面的windows程序试试,不要用hiew,f12并不是转到那个领空,F12是跳出子程序,如:
; s3 j+ m" {0 ?* U2 Z: W2 r: kmov eax,1 5 ^5 ~: Z/ d1 y
inc eax
. r% J& L! T Bret---------你在这段程序中按F12,就跳出此子程序,从RET处返回到上一程序中去。你如多按F12就等于跳出多个子程序,其实你用F10也能达到这一目的,F10来到inc eax,再按F10,执行RET一行,结果和你按F12一样的,只是F12更省事。 , C, @. e) b: j% y5 r; i+ b3 t
领空是一形象说法,说明SOFTICE目前调试的程序代码是哪个程序的,一般会在SOFTICE屏幕下的三分之一处会有一光条线,中间有文件名,如:
" u# |5 T9 z* v2 p* l3 ^------------------------ACDSEE!CODE+???------------------------
$ e4 C9 {: l/ V1 L: l6 y这表明目前SOFTICE是在ACDSEE程序的代码处,是ACDSEE.EXE不是ACDSEE.DLL就不知了,要具体分析 - a& @' E/ m) q# V! M9 l
4 K2 |- _9 X2 u( `; X# C | 
IP卡
狗仔卡
发表于 2005-3-20 13:40
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
