某刷枪软件的破解分析
本帖最后由 abao991 于 2015-2-26 09:35 编辑补充:后面的图片是多插入的,不知道为啥删不掉,大家无视吧.....
1、查壳
未知壳
2、脱壳
单步步过pushad,之后ESP定律来到这里
F8两次,到达OEP。
3、去花指令
插件-E Junk Code-MainDlg
VA填00401000,大小我这里直接填的99999,点击Execution
保存文件。但我们会发现,OD的复制到可执行文件-所有修改不能用。看图中注释:(点击图片放大)
之后右键-复制到可执行文件-选择,保存文件即可
4、逆向
开始调试后,点击软件的激活按钮,图中红色框出部分就是按钮事件地址。不懂的可以看下恒大S02E07。
OD ctrl+G来到0040F47E,下断,点击程序激活按钮,程序断了下来。
接下来说一个E语言程序的技巧,关键跳通常是这种代码下面的大跳转
add esp,0x8
cmp eax,0x0
mov eax,0x0
sete al(有时是setne)F8单步,单步步过
0040FC58 .E8 BF1AFFFF call Unpack_2.0040171C
时,寄存器的值:
很明显是进行比较。也可以通过进入这个call,看到易语言文本比较特征语句"test edx,3"的方法判断。
比较完了,出现了符合上面关键跳特征的大跳转。跳转实现,所以要nop掉。
保存,激活成功。
PS:
1、在关键跳前面还有两个大跳转,是判断qq号码、激活码是否为空的,单步跟一下就知道了。
2、软件下载地址:http://kuai.xunlei.com/d/oYDEDkhuBd-mVAQA922 (软件是假的)3、如果没有E junk code插件,把从下面链接里下载的dll 复制到OD plugin目录下,并重新运行OD
http://pan.baidu.com/s/1mgkPAWC 密码885d
评分不扣你的分!
抢沙发了 顺便学习也谢谢分享
板砖 楼主厉海 我看着都发慌
方法思路不错·至于话说这款软件是真的那是无稽之谈·刷枪刷CF点要能成功,那某迅就可以比闭门思过了
看一下来晚了
谢谢分享 很时候锻炼新手多出类似的教程吧
好长终于看完了
思路不错 活学活用
刷枪软件一般都是假的吧!!
不管真假 支持一下楼主咯