动态跟踪外挂制作学习系统

rayicy

最近我测试了一下传奇私服，弄了个WWWPC4的M2，感觉不错，同时准备开发一些相关程序，于是在网上狂翻啊，真累！终于找到了《外挂制作学习系统》这款软件。
可是一启动程序就跳出来一个注册的对话框，感觉好不爽啊。
仔细看程序的标题也带有未注册的字样，当看某些东东的时候还有限制，这就更不爽啦！平时我都去下载注册机注册，可是这次把Internet翻了个底朝天都没有找到，这可把我郁闷死了，于是就准备试试Crack技术。由于我以前从来没有看过，也没有任何Crack的经验，只是看过黑防上介绍Crack的文章，自己来破解，也就当学习了。
先备齐所需要的工具：Peid，OllyDbg，W32DASM，基本的就这些。打开Peid，然后再打开“外挂制作学习系统”的文件。
该程序是用tElock加的壳，我听说过UPX、Aspack、幻影、仙剑这几个常见的壳，可就是没有见过tElock，我试了试在tElock前面加个Un，搜索看看有没有这个东东，果然有！
下载一个，运行UnTelock。
然后将“外挂制作学习系统”载入，再脱壳，提示脱壳成功，狂乐！再用Peid检查，发现该程序是用VB写的。
其实我第一个想到的是用“GetVBRes”搞定它，将错误提示替换成中文，可是无法保存，郁闷了很长时间。
第二天用W32DASM将程序载入后，选择“参考”、“串式参考”。
看到一个“EError”，。
打开记事本，记下“push 004076E4”，然后再打开OllyDbg将程序载入，按Ctrl+F查找“push 004076E4”，来到“0042717A 68 E4764000 PUSH wgjc.004076E4 ; UNICODE "Error"”这里，往上顺着找，有一个“JNZ SHORT 0042719A”，记得昨天在书上看到过：想爆破，一般将JNZ改成JZ，将JMP改成JP。所以我试试能不能搞定它，按SHIFT+F，输入“JZ SHORT 0042719A”，然后运行，点“注册”随便输入了个注册码后仍然提示错误。哎，看来这里没戏了，改回去后继续找。找了半天，又改了半天，仍然没有头绪。最后我用了个苯办法，将JNZ，CALL，MOV这些比较特殊的都断了下来，最后找到如下的代码段：
00426FE7 . FFD6 CALL ESI ; MSVBVM60.__vbaStrMove
00426FE9 . 83C8 FF OR EAX,FFFFFFFF
00426FEC . 66:0345 E8 ADD AX,WORD PTR SS:[EBP-18]
00426FF0 . 0F80 83000000 JO wgjc.00427079
00426FF6 . 8945 E8 MOV DWORD PTR SS:[EBP-18],EAX
00426FF9 ^E9 2BFEFFFF JMP wgjc.00426E29 ; 循环
00426FFE 8B55 E4 MOV EDX,DWORD PTR SS:[EBP-1C]
00427001 . 8B35 A4114000 MOV ESI,DWORD PTR DS:[<&MSVBVM60.__vbaSt>; MSVBVM60.__vbaStrCopy
00427007 . 8D4D D8 LEA ECX,DWORD PTR SS:[EBP-28]
0042700A . FFD6 CALL ESI ; <&MSVBVM60.__vbaStrCopy>
0042700C . 8B55 E4 MOV EDX,DWORD PTR SS:[EBP-1C]
0042700F . 8D4D D4 LEA ECX,DWORD PTR SS:[EBP-2C]
00427012 . FFD6 CALL ESI
00427014 . 9B WAIT
00427015 . 68 5E704200 PUSH wgjc.0042705E
0042701A EB 27 JMP SHORT wgjc.00427043
0042701C . F645 FC 04 TEST BYTE PTR SS:[EBP-4],4
00427020 74 09 JE SHORT wgjc.0042702B
将这里面的“CALL ESI“，”JMP 00426E29“MOV EDX,DWORD PTR SS:[EBP-1C]”“CALL ESI”等断了再运行，程序将会在“00426FE7 FFD6 CALL ESI;MSVBVM60.__vbaStrMove”这里断下来，按F9，发现它正在“00426FF9 ^E9 2BFEFFFF JMP wgjc.00426E29;”循环。然后看寄存器那里。
看出什么了吗？扩大一些。
这个东东很奇怪哦，而且每次循环都会增加一个字符，大概到第16次的时候，跳到 “0042700A FFD6 CALL ESI MSVBVM60.__vbaStrCopy; <&MSVBVM60.__vbaStrCopy>”，这时右下角。
得到代码：“0012FC40 0015B8BC UNICODE "L;^VFWJ9\TDUH7ZRBSF5XP@QD3VN>"”，这个 L;^VFWJ9\TDUH7ZRBSF5XP@QD3VN>是什么？不会是注册码吧？！先试试，输入注册，提示成功！太好啦，终于搞定它！又可以省钱了，嘿嘿。这时没有任何限制了，而且还显示的是已注册版，看起来好爽啊！
本来打算再研究一下注册机的，可是性子耐不住了，赶紧先用程序吧！
这就是我破的第一个程序，感觉好开心，真想把Icefire请来喝茶！Crack真有意思！