易语言写的硬件挷定程序爆破(破解一个简单外挂)
【文章标题】: 易语言写的硬件挷定程序爆破
【文章作者】: v仔
【作者邮箱】: vxf155@sina.com
【软件名称】: 魔力宝贝外挂
【软件大小】: 1.49MB
【加壳方式】: 无
【保护方式】: 机器挷定
【编写语言】: 易语言
【使用工具】: OD
【操作平台】: Windows2003
【软件介绍】: 一个游戏的简单外挂,作者写得比较简单。
【作者声明】: 只是感兴趣,没有其他目的。本人菜鸟一个,请各位多多指教!
--------------------------------------------------------------------------------
【详细过程】
算起来在看雪也是一菜鸟。这是本人的第一篇破文,爆破的大家就不要见笑。
先向朋友了解一下外挂的行为:
1、程序就得一个文件,未注册机器不能运行,启动时窗口一闪而过。
2、运行前要向作者发送机器码,然后作者把能在该机运行的程序发过来。
3、程序是易语言写的。
根据这些情况,估计程序是把机器码硬编码到程序里的。
虽然知道是用易语言写的,但还是要用PEID看看是否有壳。显示Microsoft Visual C++ 6.0,无壳。(第一次非常走运)
再看看区段,没有发现.ecode,是用新版易语言写的(这个上网查了才知道,OUT了!)。
在网上搜索了一会,知道大概的处理方法。
硬件挷定的就找字符串\.PhysicalDrive0。
OD载入,CPU窗口任意位置右键 -> 超级字符串参考 -> 查找ASCII -> \.PhysicalDrive0
双击后定位到
0046F6AA |. 53 PUSH EBX ; /hTemplateFile => NULL
0046F6AB |. 53 PUSH EBX ; |Attributes => 0
0046F6AC |. 6A 03 PUSH 3 ; |Mode = OPEN_EXISTING
0046F6AE |. 53 PUSH EBX ; |pSecurity => NULL
0046F6AF |. 6A 03 PUSH 3 ; |ShareMode = FILE_SHARE_READ|FILE_SHARE_WRITE
0046F6B1 |. 68 000000C0 PUSH C0000000 ; |Access = GENERIC_READ|GENERIC_WRITE
0046F6B6 |. 68 28C45500 PUSH 复件_热?0055C428 ; |\.PhysicalDrive0
0046F6BB |. FF15 E0B25100 CALL NEAR DWORD PTR DS:[<&KERNEL32.Cr>; CreateFileA
返回、返回、返回,返回到调用这个函数的地方,发现和网上找到的方法差不多。
但没能找到看雪论坛上有一个贴子说的哪个通用切入点。
不管了,返回得了。到了动态库的领空,那么就Ctrl+F9一直执行。回到当前程序后发现EAX已经得到了机器码。
那就返回调用的地方。
一般取完机器码后都要对比的,那么下面的函数就有可能是对比的了。一个一个看看。
004182BF |. 50 |PUSH EAX
004182C0 |. E8 A5D10000 |CALL 复件_热?0042546A ; 这个函数取得机器码
004182C5 |. 8945 E8 |MOV [LOCAL.6],EAX ; 保存返回值
004182C8 |. 8B5D EC |MOV EBX,[LOCAL.5]
004182CB |. 85DB |TEST EBX,EBX
004182CD |. 74 09 |JE SHORT 复件_热?004182D8
004182CF |. 53 |PUSH EBX
004182D0 |. E8 BC780200 |CALL 复件_热?0043FB91 ; 可疑函数
004182D5 |. 83C4 04 |ADD ESP,4
004182D8 |> 8B5D F0 |MOV EBX,[LOCAL.4]
004182DB |. E8 759AFEFF |CALL 复件_热?00401D55 ; 可疑函数
004182E0 |. 53 |PUSH EBX
004182E1 |. 51 |PUSH ECX
004182E2 |. 8B45 F8 |MOV EAX,[LOCAL.2]
004182E5 |. 48 |DEC EAX
004182E6 |. 79 0D |JNS SHORT 复件_热?004182F5
004182E8 |. 68 04000000 |PUSH 4
004182ED |. E8 AB780200 |CALL 复件_热?0043FB9D
004182F2 |. 83C4 04 |ADD ESP,4
004182F5 |> 59 |POP ECX
004182F6 |. 5B |POP EBX
004182F7 |. 3BC1 |CMP EAX,ECX
004182F9 |. 7C 0D |JL SHORT 复件_热?00418308
004182FB |. 68 01000000 |PUSH 1
00418300 |. E8 98780200 |CALL 复件_热?0043FB9D
此处略去几行
最后找到这个,后来才知道如果自己仔细耐心点就不用一个个地找的。
00418319 |. E8 ED8CFEFF |CALL 复件_热?0040100B ; 比较函数
0041831E |. 83C4 08
上一篇: oracle数据库的引用型和记录型