学破解论坛

 ★找回密码★
 ★立即注册★

QQ登录

只需一步,快速开始

查看: 3174|回复: 250

[原创破解图文] 纯源码无模块api hook补丁打法(寄存器补丁)

  [复制链接] |关注本帖

  离线 

签到天数: 1

该用户今日未签到

发表于 2016-12-22 23:19 | 显示全部楼层 |取消关注该作者的回复

马上注册,深入学习!

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
本教程由学破解Thx赞助播出(“哎呀我摔倒了要你们评分Thx给我才能起来”)


悬赏帖:http://www.xuepojie.com/thread-30480-1-1.html
破解前言:这期直接说api hook补丁了,以后如果要打这种解码补丁,直接用这个模版套上去

先不说api hook,先说这个所谓的寄存器补丁,其实就是对寄存器进行mov赋值操作

具体看原帖要求,大意是说,eax的值,存放着一串机器码,要修改为对应的机器码才能破解成功

说什么mov eax,xxx 无效,其实讲道理是不会用,不是无效

首先是对需要修改的地方进行jmp操作
1.jpg
这里jmp的地址为0055E6AA
这个地址是一段空白代码区,也就是多余的空间,,
2.jpg
这样的叫空白区域,是程序多余的地方,这种地方99%程序都用不上
所以可以对其进行操作,,
接着,我们需要知道这个jmp到空白区域,占了多少句代码,占了多少句,到时候我们操作完了就得补多少句
原来没有修改的时候是这样的
00413544    8945 F0         mov dword ptr [ebp-0x10], eax
00413547    8B5D F4         mov ebx, dword ptr [ebp-0xC]
0041354A    85DB            test ebx, ebx


改了以后就变成了
00413544   /E9 61B11400     jmp 0055E6AA
00413549   |90              nop


所以我们要补 mov dword ptr [ebp-0x10], eax 和 mov ebx, dword ptr [ebp-0xC]
好,那么jmp部分我们讲解完了,不明白就给我背下来,,背下来还不明白就自己去操作
在你修改的地方下F2断点,F8单步跟着走,如果连这样都还不明白,不好意思,自己去补基础

接着说我们jmp到空白区域后的代码,怎么写
3.jpg
看着很乱,对吧?不要急,我们一句一句分析
首先是mov eax, 0x55E6C0
这句是对eax进行赋值操作,那么值就是0055E6C0
那么众所周知,如果我们在没有修改前,如果你在00413544    8945 F0         mov dword ptr [ebp-0x10], eax
这句代码F2,并且断下来以后,eax他其实是一个值,8位的值,例如eax的值为00401000
那么机器码是放在00401000这个地址对吧?因为你机器码如果是超过八位数,比如是123456789
那eax是不是就放不下?不可能mov eax,123456789吧?
所以同理,我们也需要将这个机器码放到某一个内存地址当中,这个内存地址就是0055E6C0
4.jpg
怎么把机器码放到这个内存地址,这种基础的od用法不要问我,,,自己去学

接着是mov eax, 0x55E6C0下面的两句
我之前跟你们说过,操作完了以后要把原来的,被占的代码补回去
所以,因为我们对eax已经完成了机器码的赋值,所以,要补原来被占的机器码,否则不补程序就崩溃
0055E6AF    8945 F0         mov dword ptr [ebp-0x10], eax
0055E6B2    8B5D F4         mov ebx, dword ptr [ebp-0xC]

所以这两句,不用解释吧?你原来被占的代码是什么就补什么,应该能懂意思
最后,0055E6B5  ^\E9 904EEBFF     jmp 0041354A
这句代码其实就是回到程序原来的地方,你不回去的话,下面就会执行add byte ptr [eax], al这种代码
然后也是崩溃,所谓从哪里跌倒从哪里爬起来,就是这个意思,
既然你完成了工作,那肯定原来的东西不能变啊,该干嘛还是得干嘛,所以这句也不用多解释吧?
jmp的地址为原来没有被占用的代码
00413544   /E9 61B11400     jmp 0055E6AA
00413549   |90              nop
0041354A   |85DB            test ebx, ebx


0041354A   |85DB            test ebx, ebx这行代码,不管我们在00413544怎么jmp,这里没有被占用对吧?
所以我们需要jmp回到这里即可,,然后程序就会按原来的路走

补码阶段正式完成,下面再说一下api hook,其实api hook我没什么可讲的,大家照着这个模版用就可以了
反正也是从一个注册宝劫持的视频弄出来的
5.jpg
api hook说多了你们也不理解,不如不讲,不需要问为什么,照着用即可

这个程序我在CreateWindowExA好像断不下来,所以我源码写的是CreateWindowExW
因为每个程序都不一样,,所以大部分程序应该是断CreateWindowExA
那么以后你们遇到断不下CreateWindowExW的,就把这里蓝色部分的CreateWindowExW改成CreateWindowExA即可

这里api hook部分讲完了,

最后,就是注入Dll部分了,dll注入器,有条件的就自己写
没条件的就去http://www.xuepojie.com/thread-25936-1-1.html
回复里面,在5楼我有放,用法帖子里面有

http://www.xuepojie.com/thread-26100-1-1.html
这个人写的我没去用,估计也可以,,,

最后,教大家排查补丁无效的办法
最先排查的就是api是否被Hook
6.jpg
这种就是成功的,,,


如果上面没问题,其次排查补码的地方,也就是空白区域
1.看补码是否有问题
2.看程序是否解码,怎么判断是否解码?在401000你们看到了3.看一下那个jmp跳转到空白区域的地方是否被修改(大多数都是未修改那导致只补了码,却没有调用)
7.jpg
这种情况就是解码,否则的话就是不解码,不解码修改了以后,程序直接退出,,,
所以,选hook 的api很重要,这里的话,我对其进行了一个判断,判断程序是否解码 8.jpg
这里的话就是判断00401000的第一字节是否为33,如果是的话就表示解码完毕,否则的话就是未解码
解码完毕以后写补丁,,大概就是这样,这里感谢老哥 爱阴湿毯,不是他提醒这一句,我身为局中人还没发现这个方法
我一直在找那个中断一次就能解码的api,但是老哥这个提醒,直接就可以判断用了,,很666,真心感谢

源码等会打包好吧,希望老哥们这次的评分不要少,毕竟这个是比较经典的案例
SE 壳反硬件断点,API 头检测CC断点,,越来越强,但是没有检测hook,,,

我这边已经测试了win7 x32, 如果其他系统无效,按照我给出的排除方法一个一个去排除即可,有问题直接帖子下面艾特一下shy即可
让更多的不懂api hook补丁的人了解下这个东西@Shark恒
Hook补丁源码shy.rar (2.54 KB, 下载次数: 153)

评分

参与人数 44威望 +1 HB +107 THX +25 收起 理由
hpoon + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
KOJIMA + 1 [快捷评语] - 2017,让我们17学破解!
暴力的狂风 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
oppo22 + 2 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
1434948256 + 1 2017,让我们17学破解!
minyue + 1 分享精神,是最值得尊敬的!
守护神艾丽莎 + 1 吃水不忘打井人,给个评分懂感恩!
Smily + 1 评分=感恩!简单却充满爱!感谢您的作品!
lihui0520 + 1 分享精神,是最值得尊敬的!
刀口以后 + 5 + 1 分享精神,是最值得尊敬的!
fat951129 + 1 分享精神,是最值得尊敬的!
神LUIES + 1 评分=感恩!简单却充满爱!感谢您的作品!
Vore + 4 + 1 分享精神,是最值得尊敬的!
peter_king88 + 1 分享精神,是最值得尊敬的!
雅蝴蝶 + 1 + 1 评分=感恩!简单却充满爱!感谢您的作品!
千里冰封 + 2 + 1 评分=感恩!简单却充满爱!感谢您的作品!
破匣求禅 + 1 + 1 吃水不忘打井人,给个评分懂感恩!
女女 + 1 分享精神,是最值得尊敬的!
逍遥枷锁 + 3 + 1 分享精神,是最值得尊敬的!
feiche + 1 分享精神,是最值得尊敬的!
风筝 + 1 评分=感恩!简单却充满爱!感谢您的作品!
gid + 1 吃水不忘打井人,给个评分懂感恩!
1206143866 + 2 + 1 分享精神,是最值得尊敬的!
夜猫大人丶 + 1 分享精神,是最值得尊敬的!
wangxp + 1 吃水不忘打井人,给个评分懂感恩!
nightyice + 1 吃水不忘打井人,给个评分懂感恩!
风动鸣 + 3 + 1 评分=感恩!简单却充满爱!感谢您的作品!
Bu弃 + 6 + 1 评分走你
feifei + 1 + 1 分享精神,是最值得尊敬的!
魔弑神 + 1 + 1 分享精神,是最值得尊敬的!
zhy1994 + 1 吃水不忘打井人,给个评分懂感恩!
ningzhonghui + 2 + 1 评分=感恩!简单却充满爱!感谢您的作品!
信仰 + 1 + 1 分享精神,是最值得尊敬的!
able0 + 5 + 1 分享精神,是最值得尊敬的!
wang22638 + 1 + 1 吃水不忘打井人,给个评分懂感恩!
hackxxx + 5 + 1 分享精神,是最值得尊敬的!
soncy88 + 5 + 1 好贴给分,,
x5龙龙 + 1 + 1 分享精神,是最值得尊敬的!
wswwj + 3 + 1 分享精神,是最值得尊敬的!
学一学丶 + 1 + 1 分享精神,是最值得尊敬的!
weiwencao + 1 + 1 好高深,收藏吧
Shark恒 + 1 + 30 + 1 非常细致,我相信可以帮助很多人解决补丁的问题。
tianzhiya + 2 + 1 吃水不忘打井人,给个评分懂感恩!
Satan + 1 评分=感恩!简单却充满爱!感谢您的作品!

还有更多人参与评分,点击查看全部!

学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!

  离线 

签到天数: 16

今日第149个签到

发表于 2016-12-23 09:59 | 显示全部楼层 |取消关注该作者的回复
感谢分享...
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 1

该用户今日未签到

发表于 2016-12-23 10:11 | 显示全部楼层 |取消关注该作者的回复
学习学习,感谢楼主分享
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 18

今日第415个签到

发表于 2016-12-23 10:22 | 显示全部楼层 |取消关注该作者的回复
多谢楼主分享, 学习了
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

该用户从未签到

发表于 2016-12-23 10:44 | 显示全部楼层 |取消关注该作者的回复
老铁在吗?
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 8

该用户今日未签到

发表于 2016-12-23 10:49 | 显示全部楼层 |取消关注该作者的回复
没有见过这种补丁打发。向楼主学习。感谢。
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 3

该用户今日未签到

发表于 2016-12-23 10:55 | 显示全部楼层 |取消关注该作者的回复
感谢分享..
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

该用户从未签到

发表于 2016-12-23 10:59 | 显示全部楼层 |取消关注该作者的回复
老铁,在的话给个回复。有事商讨。
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 12

该用户今日未签到

发表于 2016-12-23 11:04 | 显示全部楼层 |取消关注该作者的回复
我也遇到这样的问题了
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  在线 

签到天数: 18

今日第181个签到

发表于 2016-12-23 12:03 | 显示全部楼层 |取消关注该作者的回复
紧随大神脚印
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

免责声明

本站中所有被研究的素材与信息全部来源于互联网,版权争议与本站无关。本站所发布的任何软件的逆向分析文章、逆向分析视频、破解补丁、注册机和注册信息,仅限用于学习和研究软件安全的目的。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。学习逆向分析技术是为了更好的完善软件可能存在的不安全因素,提升软件安全意识,所以您如果喜欢某程序,请购买注册正版软件,获得正版优质服务!不得将上述内容私自传播、销售或者其他任何非法用途!否则,一切后果请用户自负!


联系QQ|联系Email|手机版|小黑屋|FAQ|Vip破解教程|学破解论坛 ( 京公网安备 11011502002737号 | 京ICP备14042738号-2 )  

GMT+8, 2017-2-20 14:41

快速回复 返回顶部 返回列表