新手对比法爆破绑定机器码和日期限制
一个行业正版软件绑定了机器,重装系统机器码会变,为了便利,一直以来想爆破掉机器码和日期验证。之前将汇编语言这本书这看过,似懂非懂,这两天有空将恒大的一期VIP视频第1,3部分看完了,然后就开始动手。先用ExeinfoPe查壳,发现加了Themida强壳,找了几个脚本脱没成功,论坛发了个求助帖子,高手们都说新手还是算了,看来脱这个壳难度比较大,无奈找了几个低版本查壳看看能不能找到没加壳的版本,还别说,真找到一个未加壳的版本,心中窃喜,那就拿这个开刀了。
这个软件启动时会读取安装目录下的一个keyfile文件,读取完keyfile 后就会进行验证,因此可以下readfile断点,看在什么地方读取keyfile,用单步跟踪慢慢找到可疑之处。
OD加载程序,下断,没花多久就找到读完keyfile的位置,单步跟踪找到了计算出的硬件码存放在数据区0012E19C地址处,正常的硬件码是12位,但是这个地址处的硬件码是11位,尝试着将正常的硬件码后11位手工修改到这个位置,然后运行,程序启动到最后有一个读取系统数据库的地方报错就退出了,然后就是反反复复想找出是哪个地方出的问题,无奈限于水平,找了半天没有头绪。然后就想到利用正常运行的软件来进行对照,在正常运行的那台电脑上运行到关键部分,将碰到的每一个跳转注释上跳或不跳,做完标记后,将OD中的UDD调试记录文件拷贝到测试虚拟机中,再od重新载入,这样就可以看到正常电脑的注释记录了,根据注释中的跳或不跳仔细对比,一共发现有四处差异,(ps:这个相当考验耐心),修改后运行,程序终于成功运行。
这个方法高手们莫笑,姑且称之为对比法吧,希望对如我一样的新手有点帮助。
找出的四处跳转
哈哈,你好机智,赞一下! Shark恒 发表于 2017-5-19 23:20
哈哈,你好机智,赞一下!
感谢恒大的夸奖。你的视频教程让我让我学到了不少知识,谢谢! Kingpanfeng 发表于 2017-5-20 08:22
感谢恒大的夸奖。你的视频教程让我让我学到了不少知识,谢谢!
有心人会收获很多知识,这是你应得的。
无心人即便给他一座金山,他也不会珍惜。 感谢楼主分享 感谢楼主分享 感谢楼主分享
[快捷回复]-感谢楼主热心分享! [吾爱汇编论坛52HB.COM]-学破解防逆向,知进攻懂防守!
页:
[1]
2