某硬盘播出系统五个限制暴破过程（同时求助一限制的破解）

cdygr · 发表于 2013-1-8 11:02:44

【破解工具】 OllyDbg 1.0rH0PEID

【破解声明】初学。

【软件名称】 XX硬盘播出系统

【下载地址】 http://www.csdelphi.com/downloads/St2000.zip

【加壳信息】 aspask2.12

【软件简介】未注册用户,软件受到限制!

1、使用时间限制，只能使用15天

2、会弹出未注册对话框

3、播放一段时间后，没有声音输出。

4、电视上会显示信号测试字样。

5、会弹出广告窗体。

一、脱悫，去校验。

初学这个壳比较简单，ESP定律，直接脱掉，运行有一个错误错误，直接

搜索字符串查到，跳过即可（F12暂停也可以去掉）！

在我的电脑上显示这个错误（我理解为校验哈）地址为：

0065B152 |. /74 0F JE SHORT dumped_.0065B163

0065B154 |. |48 DEC EAX

0065B155 |. |74 47 JE SHORT dumped_.0065B19E

0065B157 |. |48 DEC EAX

0065B158 |. |0F84 A8000000 JE dumped_.0065B206

0065B15E |. |E9 E8000000 JMP dumped_.0065B24B

0065B163 |> \6A 40 PUSH 40 ; Case 1 of switch 0065B151

0065B165 |. 6A 00 PUSH 0

0065B167 |. 8D4D D0 LEA ECX,DWORD PTR SS:[EBP-30]

0065B16A |. BA BCB26500 MOV EDX,dumped_.0065B2BC ; UNICODE "Sum@fx132#Hui~10]"

0065B16F |. B8 F8B36500 MOV EAX,dumped_.0065B3F8 ; UNICODE "0800000000000000C3950631F75C2D06D5A08027474AF43B"

0065B174 |. E8 2F57EDFF CALL dumped_.005308A8

0065B179 |. 8B45 D0 MOV EAX,DWORD PTR SS:[EBP-30]

0065B17C |. E8 8FC3DAFF CALL dumped_.00407510

0065B181 |. 50 PUSH EAX

0065B182 |. A1 FC4A6C00 MOV EAX,DWORD PTR DS:[6C4AFC]

0065B187 |. E8 3CE9E8FF CALL dumped_.004E9AC8

0065B18C |. 50 PUSH EAX ; |hOwner

0065B18D |. E8 3E28DBFF CALL <JMP.&user32.MessageBoxW> ; \MessageBoxW

0065B192 |. 33C0 XOR EAX,EAX

二、暴破五个限制：

暴破一：使用时间限制，（本想把系统时间调到15天后，结果不行，所以还得老老实实的找相关地方）。

发现刚刚去掉“软件错误提示”位置上下，是一些检测软件是否注册，或者是否过期等提示，估计这些地方与软件功能没有多大的关系，只是

检测注册或者被脱壳或者过期等，直接找到这段代码的起始位置，直接跳过：

0065AFBC /$ 55 PUSH EBP//直接改为retn即可去掉错误校验和时间限制。

0065AFBD |. 8BEC MOV EBP,ESP

0065AFBF |. B9 06000000 MOV ECX,6

0065AFC4 |> 6A 00 /PUSH 0

0065AFC6 |. 6A 00 |PUSH 0

0065AFC8 |. 49 |DEC ECX

0065AFC9 |.^ 75 F9 \JNZ SHORT dumped_.0065AFC4

0065AFCB |. 51 PUSH ECX

0065AFCC |. 53 PUSH EBX

0065AFCD |. 8BD8 MOV EBX,EAX

0065AFCF |. 33C0 XOR EAX,EAX

0065AFD1 |. 55 PUSH EBP

......

0065B258 |> 8D45 CC LEA EAX,DWORD PTR SS:[EBP-34]

0065B25B |. BA 03000000 MOV EDX,3

0065B260 |. E8 17C2DAFF CALL dumped_.0040747C

0065B265 |. 8D45 E0 LEA EAX,DWORD PTR SS:[EBP-20]

0065B268 |. BA 04000000 MOV EDX,4

0065B26D |. E8 0AC2DAFF CALL dumped_.0040747C

0065B272 |. 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4]

0065B275 |. E8 FAC1DAFF CALL dumped_.00407474

0065B27A \. C3 RETN

暴破2：会弹出未注册对话框

启动软件后，点击：字幕控制，或者其它（因有多次提示）

弹出提示：软件没有注册，请注册正版软件。

F12暂停，K，找到提示的地方：

定位到：

006A5A01 |. /75 1F JNZ SHORT dumped_.006A5A22

006A5A03 |. |8D4D FC LEA ECX,DWORD PTR SS:[EBP-4]

006A5A06 |. |BA 505A6A00 MOV EDX,dumped_.006A5A50 ; UNICODE "Sum@fx132#Hui~10]"

006A5A0B |. |B8 805A6A00 MOV EAX,dumped_.006A5A80 ; UNICODE "1E0000000000000070534ACDB37C67F238AE5A7C087DD4719DF74F6C5460ED9D3D1F1482D4B111DA"

006A5A10 |. |E8 93AEE8FF CALL dumped_.005308A8

006A5A15 |. |8B55 FC MOV EDX,DWORD PTR SS:[EBP-4]

006A5A18 |. |A1 C4276A00 MOV EAX,DWORD PTR DS:[6A27C4]

006A5A1D |. |E8 12EEFFFF CALL dumped_.006A4834

006A5A22 |> \33C0 XOR EAX,EAX

再点一下其它地方，发现都是通过这儿提示软件未注册，故改

006A5A01 |. /75 1F JNZ SHORT dumped_.006A5A22

这儿直接跳过即可去掉这个提示。

暴破3：水印去除。

什么也不懂，听以前一个牛人说过，可以根据水印特点，发现水印为

黑体字，因此搜索字符串，凡有黑体字的都给下断。

OD好像搜索不到相关的字符串，改用：C32Asm.exe查看，发现有七处

“黑体”的提示。

水印会出现二次，启动的时候，播放视频20分钟（同时声音变静音）左右的

时候。所以所有的黑体字都下断。

找到启动水印：

005E0545 |. /75 56 JNZ SHORT dumped_.005E059D

005E0547 |. |33C0 XOR EAX,EAX

005E0549 |. |8945 E0 MOV DWORD PTR SS:[EBP-20],EAX

005E054C |. |C745 E4 E4010>MOV DWORD PTR SS:[EBP-1C],1E4

005E0553 |. |C745 E8 5A000>MOV DWORD PTR SS:[EBP-18],5A

005E055A |. |8D4D D8 LEA ECX,DWORD PTR SS:[EBP-28]

005E055D |. |BA DC055E00 MOV EDX,dumped_.005E05DC ; UNICODE "Sum@fx132#Hui~10]"

005E0562 |. |B8 0C065E00 MOV EAX,dumped_.005E060C ; UNICODE "0C00000000000000A6623BCDB4DCBBC760349B2FF0026231"

005E0567 |. |E8 3C03F5FF CALL dumped_.005308A8

005E056C |. |8B55 D8 MOV EDX,DWORD PTR SS:[EBP-28]

005E056F |. |8D45 DC LEA EAX,DWORD PTR SS:[EBP-24]

005E0572 |. |E8 616FE2FF CALL dumped_.004074D8

005E0577 |. |C745 EC 1E000>MOV DWORD PTR SS:[EBP-14],1E

005E057E |. |8D45 F0 LEA EAX,DWORD PTR SS:[EBP-10]

005E0581 |. |BA 7C065E00 MOV EDX,dumped_.005E067C

005E0586 |. |E8 4D6FE2FF CALL dumped_.004074D8

005E058B |. |C745 F4 FF000>MOV DWORD PTR SS:[EBP-C],0FF

005E0592 |. |8D55 DC LEA EDX,DWORD PTR SS:[EBP-24]

005E0595 |. |8B43 14 MOV EAX,DWORD PTR DS:[EBX+14]

005E0598 |. |E8 67170000 CALL dumped_.005E1D04

005E059D |> \33C0 XOR EAX,EAX

在这儿：

005E0545 |. /75 56 JNZ SHORT dumped_.005E059D

跳过即可。

播放20分钟左右的水印，因为这儿涉及到播放声音没有了，变成静音了

暂时破不了，求助高手帮忙。

这一处的水印地址：

005E0D77 /74 07 JE SHORT dumped_

这儿可以跳过那个水印（静音），本以为水印跳过了，就不会静音了，结果水

印没有了，声音仍然变成静音了。实在找不到方法，望高手指点。

暴破3：会弹出广告窗体。启动后两三分钟会弹出广告，按高手的说法，可能会与网页有关

，发现安装目录有一个：MinHomePage.mht文件，删除后虽然不显示内容，但

会显示窗口。

搜索字符串：MinHomePage.mht

定位：

0066EA1C /. 55 PUSH EBP

0066EA1D |. 8BEC MOV EBP,ESP

0066EA1F |. 33C9 XOR ECX,ECX

0066EA21 |. 51 PUSH ECX

0066EA22 |. 51 PUSH ECX

0066EA23 |. 51 PUSH ECX

0066EA24 |. 51 PUSH ECX

0066EA25 |. 53 PUSH EBX

0066EA26 |. 8BD8 MOV EBX,EAX

0066EA28 |. 33C0 XOR EAX,EAX

0066EA2A |. 55 PUSH EBP

0066EA2B |. 68 BAEA6600 PUSH dumped_.0066EABA

0066EA30 |. 64:FF30 PUSH DWORD PTR FS:[EAX]

0066EA33 |. 64:8920 MOV DWORD PTR FS:[EAX],ESP

0066EA36 |. 8D55 F4 LEA EDX,DWORD PTR SS:[EBP-C]

0066EA39 |. A1 14EC6B00 MOV EAX,DWORD PTR DS:[6BEC14]

0066EA3E |. 8B00 MOV EAX,DWORD PTR DS:[EAX]

0066EA40 |. E8 4F4CEAFF CALL dumped_.00513694

0066EA45 |. 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C]

0066EA48 |. 8D55 F8 LEA EDX,DWORD PTR SS:[EBP-8]

0066EA4B |. E8 387ADAFF CALL dumped_.00416488

0066EA50 |. 8B55 F8 MOV EDX,DWORD PTR SS:[EBP-8]

0066EA53 |. 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4]

0066EA56 |. B9 D4EA6600 MOV ECX,dumped_.0066EAD4 ; UNICODE "MinHomePage.mht"

在这儿下断，找到调用的地方：

0065BB50 /$ 55 PUSH EBP

0065BB51 |. 8BEC MOV EBP,ESP

0065BB53 |. E8 2C86EDFF CALL dumped_.00534184

0065BB58 |. E8 0B8AEDFF CALL dumped_.00534568

0065BB5D |. 85C0 TEST EAX,EAX

0065BB5F |. 7D 2B JGE SHORT dumped_.0065BB8C

0065BB61 |. E8 D2960400 CALL dumped_.006A5238

0065BB66 |. F640 04 01 TEST BYTE PTR DS:[EAX+4],1

0065BB6A |. 75 20 JNZ SHORT dumped_.0065BB8C

0065BB6C |. 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8]

0065BB6F |. 8B40 FC MOV EAX,DWORD PTR DS:[EAX-4]

0065BB72 |. 8B40 0C MOV EAX,DWORD PTR DS:[EAX+C]

0065BB75 |. 83F8 3C CMP EAX,3C

0065BB78 |. 7C 12 JL SHORT dumped_.0065BB8C//改为JMP 强制强转即可。

0065BB7A |. 8B55 08 MOV EDX,DWORD PTR SS:[EBP+8]

0065BB7D |. 83F8 41 CMP EAX,41

0065BB80 |. 7F 0A JG SHORT dumped_.0065BB8C

0065BB82 |. A1 C4276A00 MOV EAX,DWORD PTR DS:[6A27C4]

0065BB87 |. E8 388C0400 CALL dumped_.006A47C4

0065BB8C |> 5D POP EBP

0065BB8D \. C3 RETN

至此五个限制中的4个已经暴破掉，可查播放20分钟没有声音确不知道如何去思维，麻烦高人们帮忙，再此感谢！

但我试了，20分钟声音静音，真的大概要播放20分钟左右，就出现静音了，所以调试的时候还得播放视频20分钟左右。

同时要软件能添加视频成功或者播放，必须安装下面的解码软件：

http://pan.baidu.com/share/link?shareid=155278&uk=2383594824

还希望高手能给一个解除声音变静音的思路，谢谢！

飘云 · 发表于 2013-1-17 23:02:26

DS:[006C4B50]=0704A498
Local calls from 00655B52, 0065AA42, 0065B086, 0065B9CF, 0065BB61, 006A52AA, 006A536D, 006A5391, 006A539F, 006A58E0, 006A59F3

这是几个校验需要访问的公共位置，返回去看看，注意结构体访问形如[EBX+4] [EBX+8] 等等。直接patch掉这个结构体即可。静音的话，还得检查下Audio32.Dll 等等，因为里面带了 R4的狗，需要反汇编看下，，这个公司的软件喜欢玩这招。祝好运

cdygr · 发表于 2013-1-18 12:49:31

谢谢老大亲自回复，当时发贴的时候不知道一直显示发贴错误，后面一看晕，发了几条类似的，非有意的，实在报欠。

		自动登录	找回密码
密码			加入我们

[已解决] 某硬盘播出系统五个限制暴破过程（同时求助一限制的破解）

相关帖子