标签:style blog http color os 使用 io 文件 ar
?
目录
?
?
SQL浏览器3.5.7
如下图:只有30天过期后不能用的限制,必须购买使用,或者不用扔到垃圾筐里。
?
?
?
Oep大,节区清晰,但额外信息显示有压缩迹象,有可能加了壳,另外有个debug区???也太大了,难道把什么都包括进去了。
?
直接用OllyDbg打开也行。欢迎界面显示剩余天数,猜测字符串格式为"Trial version, %d days remaining"。注意,这块地方的剩余天数肯定是计算得来,然后写上去。所以猜测流程肯定是这样:每次打开时,先检查是否注册,未注册,获取本机时间,和第一次记录的比较,再把结果展示。现在根据方法,我们有4种方法来找到关键过程语句:一是最简单的查找字符串,二是下界面显示文件的API(标准控件,SetWindowText或SetDlgItemText;GDI或DX界面的写文字方法,没遇到过,可能需要去查下),个人觉得这个离关键语句近,而且带字符串,可条件断点;三是加载资源的LoadResource,LoadString等,四是这个界面出现[F12]暂停回溯堆栈,
一切OK,没有可疑的地方。
序模块-cpu窗口-右键菜单-查找-所有被引用的字符串(自带的貌似只能是"push 立即数"或"move 寄存器 立即数"形式,常是SetWindowText(xx, "string")这种写法,资源形式动态的了,可能setWindowText(xx, pszString/arrayString) 这种写法),并开始[Ctrl+F]打字搜索"Trial version"就行了,不必全部,再[Ctrl+L],嗯,只有一处。
?
?
双击目标或者焦点在目标上时回车,到CPU窗口定位,很快发现其他关键信息:"注册给"字符串。两个之前都有可以跳过的跳转。
我这里第一处跳:MOV EBX,EAX改为MOV BL,1
第二处跳修改;JNZ 00AE618D改为JMP 00AE618D
右键菜单-编辑-复制所有修改到可执行文件-弹窗后再右键菜单-保存文件...-改名保存
我们先把系统时间调整到30天后,然后打开之前修改的文件。提示已经过期,并且是以第二个弹窗:给出三个选择,一个是购买,一个是注册,一个是关闭程序。除了第二个再弹窗,其他都会结束程序。
这里有一点不好,OllyDbg打开重命名的可执行程序,原程序信息缓存不能用。
这个对话框和前一个有很大不同,这个显示都是固定不变的。找到字符串位置了可能看不到关键跳转,也许这个地方是关键跳转的下一级调用或者回调。
很明显这些文字都是静态显示,没有条件判断。
USER32.dll模块里
回调类似带有这样的lpDialogFunc对话框。
?
非模态对话框
HWND CreateDialogParam(HINSTANCE hInstance, LPCTSTR lpTemplateName, HWND hWndParent, DLGPROC lpDialogFunc, LPARAM dwInitParam);
HWND CreateDialogIndirectParam(HINSTANCE hInstance, LPCDLGTEMPLATE lpTemplate, HWND hWndParent, DLGPROC lpDialogFunc, LPARAM lParamInit);
模态对话框
int DialogBoxIndirectParam( HINSTANCE hInstance, LPCDLGTEMPLATE hDialogTemplate, HWND hWndParent, DLGPROC lpDialogFunc, LPARAM dwInitParam);
int DialogBoxParam(HINSTANCE hInstance, LPCTSTR lpTemplateName, HWND hWndParent, DLGPROC lpDialogFunc, PARAM dwInitParam);
?
以上两个非模态对话框或两个模态对话框的创建不管是ASCII还是UNICODE版都会调用CreateDialogIndirectParamAorW或DialogBoxIndirectParamAorW,全都调用CreateWindowEx。
HWND CreateWindowEx(DWORD dwExStyle, LPCTSTR lpClassName, LPCTSTR lpWindowName, DWORD dwStyle, int x, int y, int nWidth, int nHeight, HWND hWndParent, HMENU hMenu, HINSTANCE hInstance, LPVOID lpParam );
我们在已经导入的创建对话框函数上打断点,结果无反应。再在CreateWindowEx上打断,不过比可能较多,因为控件等窗口比仅一个对话框来的多。所以可先在USER32.CreateWindowEx下个[Shift+F2]条件断点UNICODE[[ESP+8]] == "Register."。因为CreateWindowEx有导入。
还有可能按钮标题可能后添加上去的,如调用
BOOL USER32.SetWindowTextW(hWnd,Text),它会调用SendMessage。
LRESULT WINAPI SendMessage( _In_ HWND hWnd, _In_ UINT Msg, _In_ WPARAM wParam, _In_ LPARAM lParam);
#define WM_SETTEXT 0x000C
user32.TranslateMessage BOOL WINAPI TranslateMessage( _In_ const MSG *lpMsg);
typedef struct tagMSG {
HWND hwnd;
UINT message;
WPARAM wParam;
LPARAM lParam;
DWORD time;
POINT pt;
} MSG, *PMSG, *LPMSG;
?
如上,可能很慢定位。
此外还可以通过出现注册对话框,按[F12]暂停,回溯调用堆栈。我们在第三个回溯找到了关键调用,这个调用阻塞了后面,即按钮后做出什么处理。
其实在前面我们查找字符串时已经可以看到的,就是往下滚动看看就看到和这个图一样的东西。
?
和前面一个预想的差不多,我们从[Alt+K]调用堆栈窗口,双击进入发起调用这个过程的地方,点击调用从。我们是断在这个proc_012ED3C4过程里的,从调用堆栈窗口看,CALL 012ED3C4是在过程proc_012EF64C里被调用的。
?
调用图如下,流程由堆栈记录,call(push),retn(pop),可在CPU窗口右下角堆栈里查看:
?
来到上一级调用后,看到有个跳转可以跳过,我们直接改为jmp跳,此为第三处检测跳。[F9]运行直接跳过弹窗来到主界面,限制就破除了。
?
前面有注册窗口,我们还可以进行注册码逆向。这个比修改文件难,需要分析算法。
先这样。
最后,我的OllyDbg有问题啊,第一次修改两处保存运行没问题,第二次修改两处就有问题,老是异常,找了好久,跟踪发现没有运行第二次修改,而在开始就崩溃了,不可能啊,郁闷好久。
由图也可以看出,前面debug节如此大就是包含了调试信息。
每次老以为修改处毛病,所以修改一处保存一下,不过文件较大比较辛苦。后来不时fc命令比较下,并且在ollydbg右键菜单-查找-所有修改:发现好多处,多了6、7处我未做的修改。靠坑爹啊。。。。
我记得某人说过ollydbg保存会有问题。
?
判断文件存在很多方法CreateFile,FindFirstFile,FindNextFile,GetFileAttributesEx等。
BOOL kernel32.GetFileAttributesExW(FileName,InfoLevel,pFileinfo){
CALL ntdll.RtlDosPathNameToNtPathName_U
CALL ntdll.NtQueryFullAttributesFile
}
?
?
?
?
标签:style blog http color os 使用 io 文件 ar
原文地址:http://www.cnblogs.com/Fang3s/p/3932787.html