付费优质VIP教程免费VIP课程168GB教程官方系列教程助困境学子有学上RMB求助区学破解账号登录官方QQ群:12111061BiliBili官方账号
吾爱破解Shark恒账号问题注册问题切换到窄版

吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

吾爱汇编»网站 技术区 『=逆向图文=』 硬件断点之三----- 关机暗桩的解除
123456下一页
返回列表 发新帖
查看: 11370|回复: 55

[原创逆向图文] 硬件断点之三----- 关机暗桩的解除

  [复制链接]
mm475 发表于 2014-12-18 00:07 | 显示全部楼层 |阅读模式

本帖最后由 mm475 于 2014-12-18 04:48 编辑

今天看到格盘大大的视频https://www.52hb.com/thread-3604-1-1.html
于是就拿他的软件练练手,在写教程之前谈几句题外话,论坛运行2个多月了,经过了被攻击、迁移……等等,终于回归正常,有2个人也默默的运行了2个多月,一个是恒大、一个是格盘。机器还有当机的时候,更何况人,但是你不管是什么时间发帖,他都第一时间回复!向他致敬!
好了!废话不多说,格盘的教程里谈到了脱壳,谈到了Patch,谈到了爆破点,那么我就从那个爆破点开始讲起,这样我也可以把后面的讲详细点!对了这个软件有个关机暗桩
[hide]
OD载入
004094f5     爆破点
0040B31A   E8 41830900   call <jmp.&user32.ExitWindowsEx>         ; \ExitWindowsEx
0040B325   E8 36830900   call <jmp.&user32.ExitWindowsEx>         ; \ExitWindowsEx
因为我爆破后被关机了,所以要练手的话先在关机暗桩的段首下好段,以免走到那里重新再来。
0040B270   关机暗桩段首先下上断点,一会再讲如何处理
首先来004094f5     爆破点
004094E8  |.  8B95 74FFFFFF mov edx,[local.35]
004094EE  |.  80BA 91030000>cmp byte ptr ds:[edx+0x391],0x0       此处下断分析运行
004094F5  |.  0F85 2C060000 jnz UnPack.00409B27         要让此处跳必须上面不相等
1.jpg

下好断点以后,重新载入
第一次断下,没什么情况,不用管他
2.jpg
第二次断下
3.jpg
004049D8   .  C680 90030000>mov byte ptr ds:[eax+0x390],0x1    给断点处赋值1
004049DF   .  8B4D FC       mov ecx,dword ptr ss:[ebp-0x4]
004049E2   .  C681 91030000>mov byte ptr ds:[ecx+0x391],0x0    给断点处赋值0
004049E9   .  8B45 D0       mov eax,dword ptr ss:[ebp-0x30]
上面肯定有个判断,不管他了全都赋值1,断点处我们也赋值1 继续
4.jpg
第三次断下,我们发现刚断点处赋值的1变成了0 al赋值的。我们现在要找下al是那里赋值的
0040D8AD  |.  8B01          mov eax,dword ptr ds:[ecx]    此处给eax赋值在此处下断
0040D8AF  |.  E8 B02A0300   call UnPack.00440364
0040D8B4  |>  8B55 9C       mov edx,[local.25]
0040D8B7  |.  FFB2 1C030000 push dword ptr ds:[edx+0x31C]
0040D8BD  |.  E8 92F9FFFF   call UnPack.0040D254
0040D8C2  |.  59            pop ecx
0040D8C3  |.  8B0D 64F24A00 mov ecx,dword ptr ds:[0x4AF264]  
0040D8C9  |.  8B11          mov edx,dword ptr ds:[ecx]
0040D8CB  |.  8882 91030000 mov byte ptr ds:[edx+0x391],al       此处al=0
0040D8D1  |.  8B45 A0       mov eax,[local.24]
0040D8D4  |.  64:A3 0000000>mov dword ptr fs:[0],eax
0040D8DA  |.  8BE5          mov esp,ebp
0040D8DC  |.  5D            pop ebp
0040D8AD下断,经过调试al0是在0040D8BD call 里得到的,我们F7call查看
5.jpg
0040D4FB  |> \8A45 DB       mov al,byte ptr ss:[ebp-0x25]
Al0ebp-0x25 但是我们发现ebp-0x30值是2!觉定修改代码
0040D4FB  |> \8A45 DB       mov al,byte ptr ss:[ebp-0x30]
6.jpg
第四次断下是个比较。然后软件启动
点注册
7.jpg
这是完成注册了,好吧!保存一下
现在要去掉暗桩了,暗桩是怎么触发的?
8.jpg
当我们点转换ico的时候,暗桩就触发了!
9.jpg
而且暗桩是2次调用
本地调用来自 00407195, 004076D6 两处的段首分别下断,再次重新载入

10.jpg
00407130  |. /74 59         je XUnPack.0040718B             跳向正确的   0040718B
00407132  |. |8B15 70F24A00 mov edx,dword ptr ds:[0x4AF270]          ;  UnPack._Form3
00407138  |. |8B02          mov eax,dword ptr ds:[edx]
0040713A  |. |05 1C030000   add eax,0x31C
0040713F  |. |8945 BC       mov [local.17],eax
00407142  |. |8B55 BC       mov edx,[local.17]
00407145  |. |833A 00       cmp dword ptr ds:[edx],0x0
00407148  |. |74 07         je XUnPack.00407151               
0040714A  |. |8B4D BC       mov ecx,[local.17]
0040714D  |. |8B01          mov eax,dword ptr ds:[ecx]
0040714F  |. |EB 05         jmp XUnPack.00407156
00407151  |> |B8 4A484A00   mov eax,UnPack.004A484A
00407156  |> |0FBE50 14     movsx edx,byte ptr ds:[eax+0x14]
0040715A  |. |83FA 41       cmp edx,0x41
0040715D  |. |75 30         jnz XUnPack.0040718F           程序重这里跳下0040718F
0040715F  |. |8B0D 70F24A00 mov ecx,dword ptr ds:[0x4AF270]          ;
00407165  |. |8B01          mov eax,dword ptr ds:[ecx]
00407167  |. |05 1C030000   add eax,0x31C
0040716C  |. |8945 B8       mov [local.18],eax
0040716F  |. |8B55 B8       mov edx,[local.18]
00407172  |. |833A 00       cmp dword ptr ds:[edx],0x0
00407175  |. |74 07         je XUnPack.0040717E
00407177  |. |8B4D B8       mov ecx,[local.18]
0040717A  |. |8B01          mov eax,dword ptr ds:[ecx]
0040717C  |. |EB 05         jmp XUnPack.00407183
0040717E  |> |B8 4B484A00   mov eax,UnPack.004A484B
00407183  |> |0FBE10        movsx edx,byte ptr ds:[eax]
00407186  |. |83FA 5A       cmp edx,0x5A
00407189  |. |75 04         jnz XUnPack.0040718F
0040718B  |> \C645 CB 01mov byte ptr ss:[ebp-0x35],0x1  如果跳向这里,就可以跳过暗桩
0040718F  |>  807D CB 00    cmp byte ptr ss:[ebp-0x35],0x0    此处的比较,jnz是不跳的
00407193  |.  75 20         jnz XUnPack.004071B5           可以跳过暗桩
00407195  |.  E8 D6400000   call UnPack.0040B270            暗桩CALL
00407195, 004076D6两处的情况差不多,两处能跳过暗桩的关键跳转改之
00407130     jmp  XUnPack.0040718B   
00407647     jmp XUnPack.004076B4
修改好保存
重新载入
更换图标
11.jpg
12.jpg

脱壳, SE, 近期发布, 硬件, 硬件断点

评分

参与人数 64威望 +1 HB +111 THX +53 收起 理由
花盗睡鼠 + 2 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
24567 + 2
Jawon + 1
sjtkxy + 1 + 1
Soul1999 + 1
消逝的过去 + 1
zxjzzh + 2 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
liugu0hai + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
ghostxu + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
jaunic + 1
hnymsh + 2
lies + 1
315505895 + 1 [快捷评语] - 2017,让我们17学破解!
kofboboangelk + 1 评分=感恩!简单却充满爱!感谢您的作品!
空白 + 1 + 1 评分=感恩!简单却充满爱!感谢您的作品!
hktkzyz + 2 + 1 m大哥,你的汇编能力太强了。
vigers + 1 + 1 ★★★★★ 热心人,佛祖保佑你事事顺利 ,财源滚滚!!!
aigoke + 1 + 1 教程非常易懂,对新人帮助极大!楼主大爱!
wu627059356 + 1 + 1 吃水不忘引水人,学习中!
羽懿521 + 1 + 1 ★★★★★ 热心人,佛祖保佑你事事顺利 ,财源滚滚!!!
1003770559 + 2 + 1 教程非常易懂,对新人帮助极大!楼主大爱!
孺子夜 + 1 + 1 看不懂也支持
轻描 + 1 + 1 教程非常易懂,对新人帮助极大!楼主大爱!
夜雨琴声灭 + 1 评分=感恩!简单却充满爱!感谢您的作品!
qzxiaolong + 1 + 1 评分=感恩!简单却充满爱!感谢您的作品!
banbanzhuan + 1 + 1 教程非常易懂,对新人帮助极大!楼主大爱!
y123y45 + 1 + 1 教程非常易懂,对新人帮助极大!楼主大爱!
七彩.祝 + 1 + 1 评分=感恩!简单却充满爱!感谢您的作品!
geekcat + 1 + 1 评分=感恩!简单却充满爱!感谢您的作品!
czyy20577 + 1 + 1 教程非常易懂,对新人帮助极大!楼主大爱!
小野 + 2 + 1 好人有好报!你的热心我永远不忘!谢谢!
am873 + 2 + 1 论坛有你更精彩!感谢楼主!
小人 + 1 + 1 ★★★★★ 热心人,佛祖保佑你事事顺利 ,财源滚滚!!!
arja + 1 + 1 论坛有你更精彩!感谢楼主!
abao991 + 1 + 1 评分=感恩!简单却充满爱!感谢您的作品!
雨季 + 3 + 1 评分=感恩!简单却充满爱!感谢您的作品!!.
zx2cwf + 3 + 1 评分=感恩!简单却充满爱!感谢您的作品!
风刃 + 1 + 1 评分=感恩!简单却充满爱!感谢您的作品!
东子郭 + 2 + 1 好人有好报!你的热心我永远不忘!谢谢!
gjj520 + 1 + 1 热心人,佛祖保佑你事事顺利 ,财源滚滚!!!
梦一场ち + 1 + 1 因果报应:这么热心分享知识,以后活该你发财!!该!哈~
小者 + 1 评分=感恩!简单却充满爱!感谢您的作品!
雾里看花 + 1 + 1 评分=感恩!简单却充满爱!感谢您的作品!
亚轩 + 10 + 1 热心人,佛祖保佑你事事顺利 ,财源滚滚!!!
狮子 + 1 + 1 热心人,佛祖保佑你事事顺利 ,财源滚滚!!!
sndncel + 2 + 1 评分=感恩!简单却充满爱!感谢您的作品!
我们要作死 + 2 + 1 论坛有你更精彩!感谢楼主!
阿菜 + 2 + 1 评分=感恩!简单却充满爱!感谢您的作品!
ferline8 + 1 + 1 评分=感恩!简单却充满爱!感谢您的作品!
ningzhonghui + 1 论坛有你更精彩!感谢楼主!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Shark恒软件逆向VIP教程,开办教学9年,尽职尽责,有问必答,不跑路!学逆向就找Shark恒,节省学习时间,不走弯路!【点击进入】
 楼主| mm475 发表于 2014-12-18 00:09 | 显示全部楼层
快速获取HB的方法:先接任务,然后评分、发帖、回帖等即可快速获得大量HB奖励!

你们这是用FZ了吧!!!评分可以秒的吗?
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Shark恒 发表于 2014-12-18 00:16 | 显示全部楼层

475发布的精品教程非常多啊,讲解非常详细!大赞!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
520Kelly 发表于 2014-12-18 00:20 | 显示全部楼层
快速获取HB的方法:先接任务,然后评分、发帖、回帖等即可快速获得大量HB奖励!

不错、我居然没有去注意这个常量、简直是我的失误、感谢楼主为我解答疑惑


吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
奥特曼 发表于 2014-12-18 00:52 | 显示全部楼层

mm475的教程真心详细啊!!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Shark恒软件逆向VIP教程,开办教学9年,尽职尽责,有问必答,不跑路!学逆向就找Shark恒,节省学习时间,不走弯路!【点击进入】
Camille 发表于 2014-12-18 01:58 | 显示全部楼层
快速获取HB的方法:先接任务,然后评分、发帖、回帖等即可快速获得大量HB奖励!

前排膜拜大大教程
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
China小二 发表于 2014-12-18 02:25 | 显示全部楼层

支持,谢谢楼主分享!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Scar-疤痕 发表于 2014-12-18 07:39 | 显示全部楼层

教程写的很详细,楼主辛苦了!谢谢!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
信仰 发表于 2014-12-18 08:27 | 显示全部楼层

很详细的教程 我这样的新手通俗易懂 收益很多吖
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
vipcrack 发表于 2014-12-18 08:58 | 显示全部楼层

赞一个,475的教程很详细,实用
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Shark恒软件逆向VIP教程,开办教学9年,尽职尽责,有问必答,不跑路!学逆向就找Shark恒,节省学习时间,不走弯路!【点击进入】
123456下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies @朋友
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!
1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900

QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表