吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 5196|回复: 86

[转载技术] OD 逆向 eXeScope

  [复制链接] 出处:吾爱破解
老汉老牛 发表于 2022-2-5 17:40 | 显示全部楼层 |阅读模式

特别声明,我是小白,这文章来自 苏紫方璇 的用户,我只是照本宣科,希望能帮到更多的小菜鸟,好资料,多分享! 谢谢


【文章标题】: eXeScope逆向记录
【软件名称】: eXeScope
【下载地址】: 自行搜索下载
【保护方式】: 无
【使用工具】: OD,PEID
--------------------------------------------------------------------------------
【详细过程】
  今天用eXeScope帮人改个东西,突然发现我下的eXeScope竟然还没注册,(而且只能使用一次,后面的编辑都不能保存-来自老汉的补充)心想这个工具可有些年头了,应该很好逆向,于是便自己动起了手来。
  首先,先查一下壳。
  Borland Delphi 6.0 - 7.0 [Overlay]
204105vzhb125nqm1uin5m.png

  没壳,还是delphi6写的,扔dede或者查找事件脚本说不定会有惊喜。
  这里我选择第二种,打开od,载入eXeScope,在入口点断下后,在插件-ODbgScript-运行脚本,选择“Delphi & VB事件断点查找脚本”,脚本运行后,会帮助我们下一堆断点。
204106o7x72k502k42dkyd.png

  脚本运行完成后运行程序,在这期间会断下N多次,不用管,接续运行,直到程序运行起来。
以上操作我基本也省了,随便就进OD干活了,因为也不懂那么多,先上菜试试,本是奔着逆向eXeScope.exe去的。。。心急啊
OD打开eXeScope.exe, F9运行,然后就照着以下步骤做:

  单击“帮助-注册”,程序再次断下,继续忽略它,我们只关心写完注册名之后的事情。
204112bpxj7gwjrkwrbc1r.png

  下面弹出注册框,填写完名字和ID之后,点击确定。程序又一次断下。
点击确定后,呀,有点不同了:
fakename.png

不管了,返回OD,(注:我用的是win7 64系统,一直都无法用Alt+F9返回用户领域),Ctrl+G,直接输入地址:0047391C,在此下了个断点,重新载入eXeScope,F9运行到此,重新用注册一次,点击确定, 哈,也可以,也不知是巧合还啥子,只能一路黑到底了,又一次可以照着下面的步骤做了;后面我又重新试了,其实OD载入eXeScope后就可Ctrl+G,直接输入地址:0047391C,在此下了个断点,F9运行到此,重新用注册一次,点击确定,谁叫我是菜鸟中的小白哩,总之先让OD跑起来


204115wyeyzrtzrrycxx2p.png

  F7单步步入,来到按钮事件的入口点,然后F8单步执行。没走几步就发现程序在获取填写上的注册名和ID,在下边有一个call,之后紧接着就是一个比较大的跳转,在跳转中,可以看到有“name”“reg”和“ini”的字样,这应该是注册成功后,程序将注册码写入ini之中吧。(照着干,注释也照着写就是,方便以后慢慢理解吧)
204118lkaqk9wua1kkeuv7.png

  把
  004C2AC6     /0F84 8D000000 je eXeScope.004C2B59                     ;  关键跳转
  改成nop
  按F9运行后,再次点击注册,发现程序已经注册成功了。
204120x70u3o8fwurg7f77.png

  不过不要高兴得太早(的确得意了一下,没看到这段文字前,不过也好在有以下操作,才算是成功),一般来说程序写入ini可能会存在重启验证。把刚才修改的保存后,重新运行,发现程序还是未注册,看来一定是重启验证了,再次重新运行,在入口点断下后,下断GetPrivateProfileStringA函数,之后运行程序,程序还是会不停地断下,不用管,直到堆栈中出现这个样子。
204121awtpmjoyry2mntoo.png

  Ctrl+F9运行到返回,F8单步一次,看看不像,再次Ctrl+F9运行到返回,F8单步一次。这次出现了ID,继续单步F8.
上面这段又搞不懂,先不管,继续用Ctrl+G,直接输入地址:004CBE2F,找到此处注释一下再说哈,F7进去看看,暂时不懂,不管了,来到最后,直接要个结果:

004CBE2F      E8 48010000   call eXeScope.004CBF7C                   ;  重启验证
  这一句,把它改成
  004CBE2F      B0 01         mov al,0x1                               ;  重启验证
  004CBE31      90            nop
  004CBE32      90            nop
  004CBE33      90            nop

保存修改,可以用了,下面理论的东西,咳...,小白后面慢慢研究研究


204124zzmvxtjvwexetvez.png

  在下边看到这个,有种预感这就是关键点,因为它上面有个call,下边就把返回值放到了全局变量中。
  004CBE34  |.  A2 08FB4C00   mov byte ptr ds:[0x4CFB08],al
  在上面的call中F7跟入。
204126fgt724sqtlt7l47j.png

  进入这call后,F8单步运行,
  004CBF8E  |.  55            push ebp
  004CBF8F  |.  68 1BC04C00   push eXeScope.004CC01B
  004CBF94  |.  64:FF30       push dword ptr fs:[eax]
  004CBF97  |.  64:8920       mov dword ptr fs:[eax],esp               ;  try
  这里是一个try,下边可能会涉及一些关键的操作,仔细看一下。
204128uql54wwkvzucjjiz.png

  果然,下边有一个取文本长度的,然后和10比较,在下边就是文本比较了。所以可以断定这个call就是个判断ID是否正确的Call。
  一直到返回,也就是走到这一句,看到eax=0,把他改成1试一下。
  004CBE34  |.  A2 08FB4C00   mov byte ptr ds:[0x4CFB08],al
  结果注册成功了。但是我们不能每次都用od改吧,再次运行,返回到
  004CBE2F      E8 48010000   call eXeScope.004CBF7C                   ;  重启验证
  这一句,把它改成
  004CBE2F      B0 01         mov al,0x1                               ;  重启验证
  004CBE31      90            nop
  004CBE32      90            nop
  004CBE33      90            nop

  保存到可执行文件即可。
fakename.png
fakename.png

评分

参与人数 31HB +22 THX +21 收起 理由
花盗睡鼠 + 2 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
虚心学习 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
Jawon + 1
DDK4282 + 1 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
极速菜 + 1
一路走来不容易 + 1
创客者V2.0 + 1
消逝的过去 + 1
459121520 + 1
WolfKing + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
冷亦飞 + 1
weiran324 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
zyyujq + 1
liugu0hai + 1 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
hbyaojing + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
小菜虫 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
xgbnapsua + 1
ldljlzw + 1
thunderiser + 1
6378895 + 1 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
jflmao + 1
pkniuer + 1
我是好人 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
brswbx201610 + 1
temp + 1 + 1
king51999 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
zxjzzh + 2 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
成丰羽 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
kpyg456 + 2 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
zwc123xyz + 1 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
boot + 2 + 1

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
小海豚0 发表于 2022-2-5 17:50 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
SuCRI 发表于 2022-2-5 17:57 | 显示全部楼层

谢谢分享
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
yDIld285 发表于 2022-2-5 17:59 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
茉莉79 发表于 2022-2-5 17:59 | 显示全部楼层

感谢楼主
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
NhTtVFyi 发表于 2022-2-5 17:59 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
长颈鹿574 发表于 2022-2-5 18:10 | 显示全部楼层

太好了,我看看,谢谢!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Ezy2 发表于 2022-2-5 18:12 | 显示全部楼层

威武霸气!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
zXuEQvVk480 发表于 2022-2-5 18:13 | 显示全部楼层

谢谢分享
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
大碗96570 发表于 2022-2-5 18:29 | 显示全部楼层

楼上很眼熟啊,是不是哪里见过
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表