• 标 题:菜鸟破解录之 The Cleaner (4千字)
  • 作 者:xiA Qin
  • 时 间:2000-8-12 10:20:35
  • 链 接:http://bbs.pediy.com

菜鸟破解录之 The Cleaner


软件名称:  The Cleaner
软件版本:  3.1 Build 3138 database 3104
软件大小:  1192
软件授权:  共享软件 
使用平台:  Win95/98/NT 
发布公司:  http://www.moosoft.com/cleaner.php3
软件简介:  一个专门检测和清除侵入您系统中的特洛伊木马的专业程序,内置1393个木马标识。可在线升级版本和病毒数据库,操作简单,功能强大!查杀的各类特洛伊木马种类最多,几乎所有较出名的这里都有,如Netspy、BO、Netbus、Girlfriend、Happy99、BackDoor以及它们的一些不同版本。还有很多种我们大多数网友听都没听过,有了它我们可以将电脑“清洁”得干干净净,放心大胆地上网。


作    者:xiA Qin
级    别:很菜。。。。很菜。。。
解密日前:2000年8月11日
解密工具:Trw2000 1.22 <--不用说了吧!
          Procdump1.62 <--自动脱壳的工具。
          typ          <--侦测程序是用什么加的壳。

破解目的:学习脱壳+注册码的破解。(简单)




第一步:脱壳

    用typ查一下The Cleaner.exe是用什么加的壳。用upx 0.81加的壳。

  1、运行Procdump,看到它的右边有几个按钮。
  2、单击“UNPACK”,选UPX,选择目标程序Cleaner.exe。
  3、过不久就出现“Please hi OK when task is loaded(check TaskBar)” ,要注意了,当Cleaner.EXE出现在工具条时,再单击‘OK’。
  4、等一会,它会选一个文件名进行保存,存为China.EXE(任意) 。
  5、运行China.exe,嘻嘻!!!!运行成功。


第二步:

首先运行China.exe
输入注册信息

Name:  xiA Qin                &任意输入
     
SN:  1234567890123456789    此处先乱填...程式会先看看注册码是否为19个字...
                              是的话才会去比较

下指令bpx hmemcpy    //下中断点 

按F5回到程序,按确定,这时会被Trw2000拦截到。

下指令bd *            //屏障中断点

下指令pmodule        //直接跳到程序的领空


按F10来到下面指令
...............


015F:00474637  MOV      EAX,[EBP-01D0]
015F:0047463D  CALL      00403D00
015F:00474642  CMP      EAX,13          //眼熟吧!注册码位数检查,19位
015F:00474645  JZ        0047466C
015F:00474647  ADD      BYTE PTR [EBX+000001FC],01
015F:0047464E  JAE      00474655
015F:00474650  CALL      00402E60
015F:00474655  PUSH      30
015F:00474657  CALL      00406674
015F:0047465C  MOV      EAX,[EBX+000001F8]
015F:00474662  CALL      00473EE4
015F:00474667  JMP      00474745
015F:0047466C  MOV      EAX,[00482C00]
015F:00474671  MOV      EAX,[EAX]
015F:00474673  MOV      EDX,[EAX+0000532C]
015F:00474679  LEA      EAX,[EBP-01D4]
015F:0047467F  MOV      ECX,00474780
015F:00474684  CALL      00403D4C
015F:00474689  MOV      EDX,[EBP-01D4]
015F:0047468F  LEA      EAX,[EBP-01CC]
015F:00474695  CALL      004051E6
015F:0047469A  LEA      EAX,[EBP-01CC]
015F:004746A0  CALL      00405586
015F:004746A5  LEA      EDX,[EBP-01D0]
015F:004746AB  MOV      EAX,[EBX+000001E0]
015F:004746B1  CALL      0041F320
015F:004746B6  MOV      EDX,[EBP-01D0]
015F:004746BC  LEA      EAX,[EBP-01CC]
015F:004746C2  CALL      00404094
015F:004746C7  CALL      004057CB
015F:004746CC  LEA      EDX,[EBP-01D0]
015F:004746D2  MOV      EAX,[EBX+000001E4]
015F:004746D8  CALL      0041F320
015F:004746DD  MOV      EDX,[EBP-01D0]
015F:004746E3  LEA      EAX,[EBP-01CC]
015F:004746E9  CALL      00404094
015F:004746EE  CALL      004057CB
015F:004746F3  LEA      EAX,[EBP-01CC]
015F:004746F9  CALL      00405350
015F:004746FE  MOV      EAX,[00482C00]
015F:00474703  MOV      EAX,[EAX]
015F:00474705  CALL      0047E894          //注册码运算子程序
015F:0047470A  TEST      AL,AL            //由AL当旗标值...来决定注册成功与否...
015F:0047470C  JZ        00474725          //注册码比较
015F:0047470E  MOV      EAX,[EBX+000001F4]
015F:00474714  CALL      004737D4
015F:00474719  MOV      DWORD PTR [EBX+00000150],00000001
015F:00474723  JMP      00474745
015F:00474725  ADD      BYTE PTR [EBX+000001FC],01
015F:0047472C  JAE      00474733
015F:0047472E  CALL      00402E60
015F:00474733  PUSH      30
015F:00474735  CALL      00406674
015F:0047473A  MOV      EAX,[EBX+000001F8]
015F:00474740  CALL      00473EE4
015F:00474745  XOR      EAX,EAX
015F:00474747  POP      EDX
015F:00474748  POP      ECX
015F:00474749  POP      ECX
015F:0047474A  MOV      FS:[EAX],EDX
015F:0047474D  PUSH      00474770
015F:00474752  LEA      EAX,[EBP-01D4]
015F:00474758  CALL      00403A84            //注册失败对话框
015F:0047475D  LEA      EAX,[EBP-01D0]
015F:00474763  CALL      00403A84
015F:00474768  RET

从上面可以看出.

将0047470C  JZ        00474725
改0047470C  JNZ      00474725

就可以注册。       

整里一下,用Ultraedt打开China.exe

找到74 17 8b 83 f4 01

改成75 17 8b 83 f4 01


保存修改文件,重新运行。

还有延迟画面,要我注册。

找到75 4C 8B 45 FC 05 A4

改成74 4C 8B 45 FC 05 A4

这一下,可把你搞定了。