用SMC的补丁方法来破解加壳的幻影2003-一篇SMC补丁方法的教程
作者:lzrlzr
邮箱:crack_lzrlzr@163.com
日期:2002年11月24日
软件:幻影2003
加密方式:机器码+注册码,主运行文件huanying.exe被加壳ASPack
1.08.03,
未注册前有功能限制,不能保存、打印、发email。
难度:中等
所用工具:lodepe,softice,hiew6.83,topo
破解环境:win98第二版
本文仅在研究破解技术,请大家支持软件作者制作出更优秀的软件。
请大家多提意见,完善文章内容,造福于所有的crack
1、注册表中存放运行次数和注册码的地方
REGEDIT4
[HKEY_CURRENT_USER\Software\BraveTech\PhotoBuilder\regno]
"showme"=dword:00000000
"opensample"=dword:00000001
"lastbk"="C:\\PROGRAM
FILES\\幻影2003\\backgrnd\\BCG_094.JPG"
"runtimes"=dword:00000005
"bserino"="F9R9-B3C9-J5D9-P0L0"*******注册码以明文存放在这里
2、软件破解
软件的主运行文件huanying.exe被加壳ASPack 1.08.03,用冲击波可得到入口地址OEP,脱壳后反
汇编,得到如下代码段,修改410B6E处的代码为9090或7500,则软件破解完成(注册码的破解比较简单,
采用的是明码比较,这里就不讲了)。
OEP: 452564==>0043DF6C
* Referenced by a CALL at Addresses:
(四个调用检测注册码的代码段的地址,分别对应了四个功能。)
|:00406531 , :0040A218 , :00414BF8
, :00414DE5
|
0167:00410820 6AFF
push FFFFFFFF
.......
.......
0167:00410B6E
750D JNZ
00410B7D ********************
0167:00410B70 C744242C01000000
MOV DWORD PTR [ESP+2C],00000001
0167:00410B78
E9C8010000 JMP 00410D45
0167:00410B7D 33DB
XOR EBX,EBX
0167:00410B7F 53
PUSH EBX
0167:00410B80 8D4C2444 LEA
ECX,[ESP+44]
0167:00410B84 E8178BFFFF
CALL 004096A0
3、此软件的破解并不难,手工或借助工具脱壳后修改一个字节就可完成破解;取消所有功能限制;
但用来作为一个学习SMC补丁方法的例子刚好。(因为我的本意不是讲脱壳,所以这一部分略,若有
人需要,可来信讨论,不过本人脱壳的水平不敢恭维。)
4、SMC的补丁方法(加壳ASPack 1.08.03 -> Alexey Solodovnikov)
分析:因为软件加壳,所以0167:00410B6E
750D JNZ 00410B7D
这一句代码是在内存动态生成的。那么首先看这一句是由哪一段代码生成的。
用 Softice loader启动huanying.exe文件,下断点bpm 410b6e,
ice中断后,用D 410b6e来看代码是不是750D
JNZ 00410B7D,
若不是,按F5继续,直到代码生成为止。
我们来分析最后一次中断后的地方:
0167:00452333 8B85B5504400 MOV
EAX,[EBP+004450B5]
0167:00452339 6800800000
PUSH 00008000***************
0167:0045233E
6A00 PUSH
00
0167:00452340 50
PUSH EAX
0167:00452341 FF95BD504400
CALL [EBP+004450BD]
0167:00452347
83C608 ADD
ESI,08
0167:0045234A 833E00
CMP DWORD PTR [ESI],00
0167:0045234D 0F8546FFFFFF
JNZ 00452299
0167:00452353
8B9DDF4A4400 MOV EBX,[EBP+00444ADF]
0167:00452359 0BDB
OR EBX,EBX
0167:0045235B 7408
JZ
00452365
0167:0045235D 8B03
MOV EAX,[EBX]
在00452339地址前,代码已经生成,所以我决定在此句前修改00410B6E的代码。用PE工具得到
代码00452339也是动态生成的,所以也要找到生成00452339的代码段。
用 Softice loader启动huanying.exe文件,下断点bpm
00452339,
ice中断后,用D 00452339来看代码是不是6800800000 PUSH
00008000 ,
若不是,按F5继续,直到代码生成为止。
我们来分析最后一次中断后的地方:
0167:004520B7
8B85B5504400 MOV EAX,[EBP+004450B5]
0167:004520BD 6800800000 PUSH
00008000***************
0167:004520C2 6A00
PUSH 00
0167:004520C4
50 PUSH
EAX
0167:004520C5 FF95BD504400 CALL
[EBP+004450BD]
0167:004520CB 8D85374C4400
LEA EAX,[EBP+00444C37]
0167:004520D1
50 PUSH
EAX
0167:004520D2 C3
RET
在4520bd的地方,代码已经生成,所以我要在4520bd这一句前给软件补丁;用PE工具得到这一段
代码在huanying.exe文件中是存在的,不需要再补丁。
现在理一下SMC的补丁方法来破解加壳软件的思路:
程序运行的过程:
程序运行-->在004520BD生成00452339代码段-->在00452339生成00410B6E代码段-->00410B6E代码段运行
程序补丁的过程:
程序运行-->在004520BD补丁00452339代码段-->在00452339补丁00410B6E代码段-->补丁后的00410B6E代码运行,软件破解。
从上面可以看出,补丁的代码要两处,第二处补丁第一处代码;以此类推,再复杂的加壳,第二处补丁第一处代码,
第三处补丁第二处代码,第四处补丁第三处代码,在经过多次的补丁,最后也会补成功。
具体步聘:
1,用topo 在huanying.exe文件中寻找空白代码段,我得到的是00453250
用hiew6.83修改源文件,在453250处加代码:
0167:00453250 6800800000 PUSH
00008000
0167:00453255 C7056E0B41007500C744MOV
DWORD PTR [00410B6E],44C70075********
0167:0045325F E9DAF0FFFF
JMP 0045233E
这一句就是修改410b6e的代码,修改为
0167:00410B6E 7500
JNZ 00410B70***********
2、用hiew6.83修改源文件,修改004520BD处的代码为
0167:004520BD E9120F0000 JMP
00453264
3、用hiew6.83修改源文件,在453264处加代码:
0167:00453264
6800800000 PUSH 00008000
0167:00453269 C70539234500E9120F00MOV DWORD PTR
[00452339],000F12E9***********
0167:00453273 C6053D23450000
MOV BYTE PTR [0045233D],00
0167:0045327A
E943EEFFFF JMP 004520C2
这一句就是修改00452339 的代码,修改为00452339 E9120F0000 JMP
00453250
4、运行软件,成功,补丁完成。试一试,功能限制已没有,破解完成。
================
附修改结果
0167:004520B7 8B85B5504400 MOV
EAX,[EBP+004450B5]
0167:004520BD E9A2110000
JMP 00453264***********
0167:004520C2
6A00 PUSH
00
0167:004520C4 50
PUSH EAX
0167:004520C5 FF95BD504400
CALL [EBP+004450BD]
0167:004520CB
8D85374C4400 LEA EAX,[EBP+00444C37]
0167:004520D1 50
PUSH EAX
0167:004520D2 C3
RET
================ 附增加的代码段
*****************************************************************************
0167:00453250 6800800000 PUSH
00008000
0167:00453255 C7056E0B41007500C744MOV
DWORD PTR [00410B6E],44C70075
0167:0045325F E9DAF0FFFF
JMP 0045233E
0167:00453264
6800800000 PUSH 00008000
0167:00453269 C70539234500E9120F00MOV DWORD PTR
[00452339],000F12E9
0167:00453273 C6053D23450000
MOV BYTE PTR [0045233D],00
0167:0045327A E943EEFFFF
JMP 004520C2
*****************************************************************************
================附动态补丁的结果
0167:00452333 8B85B5504400
MOV EAX,[EBP+004450B5]
0167:00452339
E9120F0000 JMP 00453250***********
0167:0045233E 6A00
PUSH 00
0167:00452340 50
PUSH EAX
0167:00452341
FF95BD504400 CALL [EBP+004450BD]
0167:00452347 83C608
ADD ESI,08
0167:0045234A 833E00
CMP DWORD PTR [ESI],00
================附动态补丁的结果(破解软件的关键地方)
:u 410b6e l 30
0167:00410B6E
7500 JNZ
00410B70***********
0167:00410B70 C744242C01000000 MOV
DWORD PTR [ESP+2C],00000001
0167:00410B78 E9C8010000
JMP 00410D45
0167:00410B7D
33DB XOR
EBX,EBX
0167:00410B7F 53
PUSH EBX
0167:00410B80 8D4C2444
LEA ECX,[ESP+44]
0167:00410B84
E8178BFFFF CALL 004096A0
0167:00410B89 B306
MOV BL,06
0167:00410B8B 8D4C2420
LEA ECX,[ESP+20]
希望能和大家互相交流经验,也希望能为crack们作一点贡献。
下一篇准备写
1,怎样修改软件文件,让软件自动输出注册号,自己成为自己的注册机。
2,怎样修改软件文件,破解多模块加密狗(rokey)的方法。(一个国内非常有名的软件,采用加密狗加密,
而且是多模块软件。)
转载请保证文章内容的完整。
- 标 题:一篇SMC补丁方法的教程 (7千字)
- 作 者:lei_z_r
- 时 间:2002-11-25
12:43:44
- 链 接:http://bbs.pediy.com