吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 6660|回复: 58

[原创逆向视频] 《排课高手》26.83版(2017年3月15日)逆向教程

  [复制链接]
gxr2016 发表于 2017-5-17 10:18 | 显示全部楼层 |阅读模式

《排课高手》26.83版(2017年3月15日)逆向视频教程


课件下载,自行百度。

逆向用到的工具:OD(软件调试工具)、exeinfope(查壳查编译语言)、XH 补丁制作工具1.3.0吾爱汇编论坛(补丁制作)


开始逆向

1、查壳
MS Visual Basic 5.0-6.0   EXE

2、OD载入程序

CTRL+G,输入00401000,回车,中文搜索引擎--智能搜索,CTRL+F,输入“使用权属于”

找到 00A3A10A mov edx,pkgs.00478598 本软件的使用权属于

双击返回,


00A3A105   .  A1 0451AF00   mov eax,dword ptr ds:[0xAF5104]
00A3A10A   .  BA 98854700   mov edx,pkgs.00478598                    ;  本软件的使用权属于
00A3A10F   .  85C0          test eax,eax
00A3A111   .  7F 05         jg short pkgs.00A3A118



地址常量0xAF5104,在该处下硬件访问断点,F9运行程序,程序会在系统领空和程序领空断下,找到关键的赋值点

0079401B   > \8D95 74FFFFFF lea edx,dword ptr ss:[ebp-0x8C]
00794021   .  52            push edx
00794022   .  FF15 A8124000 call dword ptr ds:[<&MSVBVM60.__vbaI4Var>;  msvbvm60.__vbaI4Var
00794028   .  A3 0451AF00   mov dword ptr ds:[0xAF5104],eax
0079402D   .  8D8D 74FFFFFF lea ecx,dword ptr ss:[ebp-0x8C]
00794033   .  FF15 28104000 call dword ptr ds:[<&MSVBVM60.__vbaFreeV>;  msvbvm60.__vbaFreeVar
00794039   .  C745 FC C7000>mov dword ptr ss:[ebp-0x4],0xC7
00794040   .  A1 0451AF00   mov eax,dword ptr ds:[0xAF5104]
00794045   .  85C0          test eax,eax


跟踪分析,可以在0079401B处重新下断,重新运行程序,断在0079401B时,F8向上,00794022处,修改代码


MOV EAX,2,给EAX赋值为2,一路F9,程序启动后变成已注册。


点击注册,程序又被断下。


00A358A4   .  A1 0451AF00   mov eax,dword ptr ds:[0xAF5104]
00A358A9   .  83C4 18       add esp,0x18
00A358AC   .  85C0          test eax,eax

一路F8,发现第二处地址常量0xAF5708。


00A358AE   . /0F8E 55010000 jle pkgs.00A35A09
00A358B4   . |BA 286D4700   mov edx,pkgs.00476D28                    ;      正式版。已进行
00A358B9   . |8D4D E8       lea ecx,dword ptr ss:[ebp-0x18]
00A358BC   . |FF15 64124000 call dword ptr ds:[<&MSVBVM60.__vbaStrCo>;  msvbvm60.__vbaStrCopy
00A358C2   . |A1 0857AF00   mov eax,dword ptr ds:[0xAF5708]
00A358C7   . |83F8 01       cmp eax,0x1                              ;  Switch (cases 1..4)

在0xAF5708内存地址下硬件访问断点。重启程序。一路F9,看什么时候程序给0xAF5708赋值

再终找到
0079420D   .  C745 FC CF000>mov dword ptr ss:[ebp-0x4],0xCF
00794214   .  C705 0857AF00>mov dword ptr ds:[0xAF5708],0x3
0079421E   .^ E9 D7FEFFFF   jmp pkgs.007940FA

修改
00794214   .  C705 0857AF00>mov dword ptr ds:[0xAF5708],0x3


00794214   .  C705 0857AF00>mov dword ptr ds:[0xAF5708],0x5



成功,变成正式版。

总结一下,修改数据

Patches
地址       大小   状态      旧                                新                                注释
00794022     6.   激活        call dword ptr ds:[<&MSVBVM60.__  mov eax,0x2
00794214    10.   激活        mov dword ptr ds:[0xAF5708],0x3   mov dword ptr ds:[0xAF5708],0x5

打补丁,看演示就可以了。

运行补丁程序,测试功能限制去除,一切正常,教程到此结束,谢谢大家观看。

逆向教程及相关资料下载地址:

游客,如果您要查看本帖隐藏内容请回复



评分

参与人数 16威望 +1 HB +24 THX +7 收起 理由
禽大师 + 1
虚心学习 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
lies + 1
别管我了行 + 2
yexing + 1
gd27011 + 2
飞刀梦想 + 1
1914523785 + 1
消逝的过去 + 1
agan8888 + 1
檀黎斗 + 1 [快捷评语] - 2017,让我们17学破解!
tm9966 + 1 真的很好,学习了。
mayk1000 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
斌之樊篱 + 1 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
luozheng97 + 2 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
Shark恒 + 1 + 10 + 1 [快捷评语] - 2017,让我们17学破解!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| gxr2016 发表于 2017-5-17 15:02 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
byh3025 发表于 2017-5-17 15:42 | 显示全部楼层

谢谢大牛的教程,学习了
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
892644330 发表于 2017-5-17 16:50 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
zcbjm520 发表于 2017-5-17 18:59 | 显示全部楼层

感谢楼主的分享
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
追梦 发表于 2017-5-17 20:58 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
441001387 发表于 2017-5-18 08:16 | 显示全部楼层

支持吾爱汇编论坛
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
byh3025 发表于 2017-5-18 12:36 | 显示全部楼层

对于这句“Switch (cases 1..4)”,楼主能详细解释下吗?在网上查下也没找到满意的答案
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
动物凶猛 发表于 2017-5-18 16:37 | 显示全部楼层

这个软件的逆向版还真不多,谢谢了
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
goodluckwxl 发表于 2017-5-19 14:39 | 显示全部楼层

学习了,嘿嘿
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表