ACProtect V2.0.X脱壳手记(早期的)

【文章标题】: ACProtect V2.0.X脱壳手记
【软件名称】: XorIt.protected.exe
【加壳方式】: ACProtect V2.0.X
【编写语言】: VC
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
——————————————————————————–
【详细过程】
  用PEID查壳显示为:ACProtect V2.0.X -> RiSco  * Sign.By.fly * 继续阅读“ACProtect V2.0.X脱壳手记(早期的)”

Morphine.Shell.V1.5l脱壳的详细分析

【文章标题】: Morphine.Shell.V1.5l脱壳的详细分析
【作者主页】: www.iawen.com
【软件名称】: CrackMe
【下载地址】: 见附件
【加壳方式】: Morphine
【使用工具】: OD,PETools,ImportREC
【操作平台】: XP SP3
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
——————————————————————————–
【详细过程】
  这个壳是今天从UnPackCn站点上Download下来,自己加了一个试试,呵呵!
  有一个很好脱壳脚本,是朋友写的(偶不会,^&^),不过,我还是想自己动手玩一下,于是就有了这篇文章,希望大家不要见笑! 继续阅读“Morphine.Shell.V1.5l脱壳的详细分析”

PEBundle3.2的高级捆缚分析

【文章标题】: PEBundle3.2的高级捆缚分析
【文章作者】: iawen
【软件名称】: EdrTest.exe
【下载地址】: 见附件
【使用工具】: OD、LoadPE、ImportRec
【操作平台】: Xp Sp3
【软件介绍】: 一个UnpackMe,呵呵
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
——————————————————————————–
【详细过程】
  先用PEid查一下壳,显示为:PEBundle 2.0b5 – 3.0x -> Jeremy Collake
  因为朋友自己加的,所以知道是PEBundle 3.2版的,呵呵! 继续阅读“PEBundle3.2的高级捆缚分析”

一个CM的脱壳与爆破

【作者主页】: www.iawen.com
【作者QQ号】: =======**======
【软件名称】: Crackme.exe
【下载地址】: 见附件
【使用工具】: OD,PETool,ImportREC
【操作平台】: XP SP3
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
——————————————————————————–
【详细过程】
  一个简单的压缩壳,用PEID查看显示为:Morphine 1.4 – 2.7 -> Holy_Father & Ratter/29A
  我没见过,直接用OD载入得啦: 继续阅读“一个CM的脱壳与爆破”

OJOsoft系列软件的注册算法分析

软件是VC写的,用PEID显示为:Microsoft Visual C++ 7.0 Method2 [调试]
二话不说,直接到OD载入,然后输入假的激活码,很快就能找到关键点:


00401D6D     .  C74424 1C 00000>mov dword ptr ss:[esp+1C],0
00401D75     .  E8 96E80100     call <jmp.&MFC71.#3761>
00401D7A     .  51              push ecx
00401D7B     .  8D5424 08       lea edx,dword ptr ss:[esp+8]
00401D7F     .  8BCC            mov ecx,esp
00401D81     .  896424 10       mov dword ptr ss:[esp+10],esp
00401D85     .  52              push edx
00401D86     .  FF15 E4514200   call dword ptr ds:[<&MFC71.#297>]         ;  MFC71.7C14E575
00401D8C     .  8B8E C8000000   mov ecx,dword ptr ds:[esi+C8]
00401D92     .  FF15 30504200   call dword ptr ds:[<&Control.AVProxy::Reg>;  Control.AVProxy::RegisteProduct

继续阅读“OJOsoft系列软件的注册算法分析”

一国产加锁王的算法分析

程序加了强壳,用PEID查壳显示为:ASProtect 2.0x Registered -> Alexey Solodovnikov
再用VerA插件赤查找一下,则显示为:Version: ASProtect 1.32 build 10.20 Beta
怀疑是ASPR的高版本,毕竟VerA已经N久没更新了,呵呵!不过,用VolX大侠的脚本,低版本的也许要手脱,高版的却是一健搞定,呵呵!

用脚本脱过后,OD载入!在输入假码后,通过堆栈调用,很快就找到注册验证的关键点: 继续阅读“一国产加锁王的算法分析”

Speed Video Splitter 4.32 的注册算法分析

程序没有加壳,直接用OD载入!
输入假码有提示,可能通过查找参考字符或者难过堆栈返回找到关键CALL:


00404917         .  8>lea edi,dword ptr ds:[esi+64]
0040491A         .  5>push eax
0040491B         .  5>push ecx
0040491C         .  E>call Speed_Vi.0040E320
00404921         .  8>add esp,8
00404924         .  8>test al,al
00404926         .  7>jnz short Speed_Vi.00404944
00404928         .  6>push 40
0040492A         .  6>push Speed_Vi.004233A4                 ;  ASCII "Sorry"
0040492F         .  6>push Speed_Vi.00423378                 ;  ASCII "Invalid username or registration code      "
00404934         .  8>mov ecx,esi
00404936         .  E>call <jmp.&MFC42.#4224>
0040493B         .  C>mov byte ptr ds:[42484C],0
00404942         .  E>jmp short Speed_Vi.0040499B
00404944         >  5>push edi
00404945         .  8>lea eax,dword ptr ss:[esp+C]
00404949         .  6>push Speed_Vi.0042336C                 ;  ASCII "License to "

继续阅读“Speed Video Splitter 4.32 的注册算法分析”