第三课作业

夜之魂

【破文标题】作业三
【破文作者】夜之魂
【破解工具】OD.DEDE
【破解平台】XP2
【软件名称】笑看人生

------------------------------------------------------------------------
采用Borland Delphi编写，无注册框！用MessageBox无法断下，用DEDE反编译，有鼠标提示MOUSEDOWN来到004B03E4
004B03E2       00              db 00
004B03E3       00              db 00
004B03E4   /.  55              push ebp
004B03E5   |.  8BEC            mov ebp,esp
004B03E7   |.  84C9            test cl,cl
004B03E9       74 05           je short unpack.004B03F0
004B03EB   |.  80F9 01         cmp cl,1
004B03EE       75 0B           jnz short unpack.004B03FB
004B03F0   |>  8B80 80030000   mov eax,dword ptr ds:[eax+380]
004B03F6   |.  8B10            mov edx,dword ptr ds:[eax]
004B03F8       FF52 30         call dword ptr ds:[edx+30]                  ;  提示框出现，NOP掉
004B03FB   |>  5D              pop ebp
测算下的鼠标限制去除，再去除打印的NAG，根据DEDE提示来到
004AE96D    .  5D              pop ebp
004AE96E    .  C3              retn
004AE96F       90              nop
004AE970    .  8B80 74030000   mov eax,dword ptr ds:[eax+374]
004AE976    .  8B10            mov edx,dword ptr ds:[eax]
004AE978       FF52 30         call dword ptr ds:[edx+30]                  ;  此处跳出提示框！NOP掉
004AE97B    .  C3              retn
004AE97C    .  55              push ebp
打印NAG去除!再去除关闭时的打开网页，再搜索里可以看到有ASCII "http://5green.nease.net"，根据字符串来到
00433587    .  C3              retn
00433588     - FF25 0C784B00   jmp dword ptr ds:[<&shell32.ShellExecuteA>;将此处改为JMP 004335B4
0043358E       8BC0            mov eax,eax
00433590    .  55              push ebp
00433591    .  8BEC            mov ebp,esp
00433593    .  33C0            xor eax,eax
00433595    .  55              push ebp
00433596    .  68 B5354300     push unpack.004335B5
0043359B    .  64:FF30         push dword ptr fs:[eax]
0043359E    .  64:8920         mov dword ptr fs:[eax],esp
004335A1    .  FF05 206B4B00   inc dword ptr ds:[4B6B20]
004335A7    .  33C0            xor eax,eax
004335A9    .  5A              pop edx
004335AA    .  59              pop ecx
004335AB    .  59              pop ecx
004335AC    .  64:8910         mov dword ptr fs:[eax],edx
004335AF    .  68 BC354300     push unpack.004335BC
004335B4    >  C3              retn                                      ;  RET 用来作为跳转到 004335BC

虽然可以不打开网页退出，但关闭时总有"嗡"的声音，不知为什么？


教程2作业
PEID查为VB，运行弹出NAG窗口，所以下断bp rtcMsgBox，来到
660DC5F0     56                push esi
660DC5F1   ^ EB D5             jmp short MSVBVM60.660DC5C8
660DC5F3 M>  55                push ebp                                  ; 下断后，来到这
660DC5F4     8BEC              mov ebp,esp
660DC5F6     83EC 4C           sub esp,4C
660DC5F9     8B4D 14           mov ecx,dword ptr ss:[ebp+14]
660DC5FC     53                push ebx

堆践提示
0012FA50  /0012FB14
0012FA54  |00402503  返回到 3课.00402503 来自 MSVBVM60.rtcMsgBox
0012FA58  |0012FAF0
0012FA5C  |00000040
ctrl+g来到402503，往上看到

004024F7    .  8D45 DC         lea eax,dword ptr ss:[ebp-24]
004024FA    .  6A 40           push 40
004024FC    .  50              push eax
004024FD    .  FF15 18104000   call dword ptr ds:[<&MSVBVM60.#595>]      ;  MSVBVM60.rtcMsgBox调用NAG，这里nop掉
00402506    .  8D55 BC         lea edx,dword ptr ss:[ebp-44]
00402509    .  51              push ecx
退出时又再刚才的断点断下，这是堆践显示
0012F470   00402623  返回到 3课.00402623 来自 MSVBVM60.rtcMsgBox
0012F474   0012F50C
0012F478   00000040

来到402623，
00402617    .  8D45 DC         lea eax,dword ptr ss:[ebp-24]
0040261A    .  6A 40           push 40
0040261C    .  50              push eax
0040261D    .  FF15 18104000   call dword ptr ds:[<&MSVBVM60.#595>]      ;  MSVBVM60.rtcMsgBox这里NOP掉
00402623    .  8D4D AC         lea ecx,dword ptr ss:[ebp-54]
00402626    .  8D55 BC         lea edx,dword ptr ss:[ebp-44]

保存刚才的2处更改,保存文件，运行，2处NAG都以去掉！

[ 本帖最后由 夜之魂 于 2006-1-7 19:26 编辑 ]