关于webzip4.0585的SMC应用
这是一个离线浏览器,注册码能容易的从内存中得到,但必须在线验证,所以我选择暴力一途。注册成功标志是“属性”中“停止插入广告”成为可选项。
用FI2.4版本不知道webzip.exe是如何压缩的,研究后知道是ASPACK,又因为发现其中使用了变形引擎,估计版本在2.1或以后。
以下是我的解决之道:
(1)利用反汇编技术,知道在cs:00533D9E处令dword [eax+6c]为1就是注册版本。
(2)bpm 533D9E 知道cs:0058B179处cs:00533D9E的代码指令在内存中解压完毕(第二层压缩)。由于ASPACK压缩使用变形引擎技术,cs:0058B179的代码指令经过改变,在原始代码中不能找到,所以用
(3〕bpm 58B179 知道cs:0058B4D9处出现变形后的cs:0058B179代码(第一层压缩)。
于是:
(A)用TOPO为webzip.exe增加一些可供写入的区域(写入去1、写入区2)。
(B)从(3)知道cs:0058B51B处是第一层压缩解压完毕,所以于此令程序跳转至“写入区1”,补丁令程序运行至cs:0058B3AB(原因见下)时跳至“写入区2”
“写入区1” c705ABB35800e9b9fefb
c705ABB35800ff006a00
(C)从(2)可以知道,在cs:0058B3AB后就是第二层解压完毕,进入真正OEP。在步骤(B)处已经令程序跳至“写入区2”,因此在“写入区2”添加如下代码
c7059e3d5300c705442e
c705a23d53001f01010d
c705a63d530000009090
c705aa3d530090ba703e
6818645300
c3
即 mov dword [eax+6c], 01
push 536418 <--OEP!
ret
进入OEP工作,应该说patch是完成的,但运行后“停止插入广告”依旧不可选,虽然界面上的“unregistered"字样是去掉了。
谁能教我?
- 标 题:关于webzip4.0585的SMC应用----教我? (1千字)
- 作 者:小楼
- 时 间:2001-3-4 19:00:32
- 链 接:http://bbs.pediy.com