搜索
了解破解的代名词或者是术语VM代码保护软件作者为了防止破解就把代码进行变形乱序VM的代码是灰常凌乱的看起来没有顺序感觉和正常的代码比较灰常的奇怪断点又分INT3断点和硬件断点区别在于一个能看见一个看不见然后in3断点容易被检测领空这是个比较难理解的问题领空分为系统领空和程序领空一般来说以004开头的地址是程序的领空然后系统的领空一般是以7开头大家需要注意的一个问题是系统的领空千万不能去修改像这样修改是不允许的不然系统崩溃就玩完....段首和段尾段首是上一段的结尾也是下一段的开头一段是以retn开始和retn结尾我们经常听到在段首下断所以我们要找的就是retn下面第一个push我现在给大家找一段像这一段代码段首是以push开始滴所以我们不会在retn那里下段而段尾我们是在retn处下断因为软件的子程序是以retn返回到某一地方所以返回的时候要在retn出下断山寨估计大家也听到很多了山寨其实就是做一个管理端把软件连接到你自己的服务器成为你的软件管理端就是管理你的软件比如说我这个软件要山寨我就把软件的连接服务器地址给改成你自己的然后你做出一个管理端来管理你的软件山寨所具备的条件:传输密码服务器地址服务器文件传输密码是验证服务器的如果没有传输密码的话是无法连接服务器进行验证的爆破我们破解一般分为两种追码和爆破爆破就是通过改动代码实现我们所要的我先演示下假如说这个跳实现了他就是注册失败如果没有实现就是成功那我们就让跳不实现这样就成功了这个过程就叫爆破追码他是通过跟踪假的注册码找到真正的注册码有的软件是一机一码注册的并且是本地验证所以我们可以通过输入假的注册码找到对比的地方找到注册码这个过程成为爆破当然有的软件没那么容易追码的他会把假码和真码进行加密后再对比或者干脆让你输入注册码以后让你重启软件在软件启动的时候进行对比这个就叫做重启验证Patch大家很少接触到的一个技术这个是我在不久前看教程看到的大家都知道软件作者为了压缩软件的体积或者是防破解都会加壳加壳的程序都不能直接保存需要打补丁而patch就是通过不打补丁破解带壳文件并且是直接保存的这个我以后会告诉大家的补丁上面也说过了软件加壳后不能直接修改保存文件所以要打补丁进行内存修改这样就可以达到我们破解的目的当然补丁也并为万能的壳有可能会进行防内存写入什么的堆栈回溯我们常说的F12暂停法就是通过堆栈返回比如说我们要找到这个软件的信息框是哪调用的我们就可以通过暂停法回溯到那里我记得软件窗体也可以的一般来说没有经过特殊处理的E语言程序都可以通过这个方法非万能啊字符串说白一点就是给你点提示OD的搜字符串不给力的以这个软件为例看我演示下软件已经断下了我把断点撤销点暂停然后回溯这里有两个地方调用一个是电脑系统调用一个是程序调用我们当然要找程序的调用啦看到没很容易就找到了API怎么说呢就是电脑的某个地方的名字吧这东西还真不好解释大概的意思就是说如果我们调用信息框那么就是调用系统的MessageBox还是百度给力啊OEP程序的入口点如果我们找到OEP我们就能快速脱壳就类似于找到钥匙就能开门壳就是一把锁OEP就是锁孔关于怎么找OEP一般来说有几种方法以后会说IAT就是指针脱壳的话可能要修复指针如果没有指针就相当于人只有一个身体没有灵魂壳可能会对指针进行处理这个小菜也不怎么了解大家还是百度吧反正大家要知道修复输入表就是修复IAT壳保护程序或者压缩体积的东西分为加密壳和压缩壳加密壳就是保护软件滴有各种anti或者检测脱壳就是把保护壳去掉更好的调试和破解能清楚看到代码花指令就是保护代码的指令很乱很乱类似于VM但和VM不同一般E语言程序会加花指令进行代码保护有插件我好像在第二课讲了Push窗体这么跟大家说吧一个软件有验证窗体有功能窗体我们要让他启动的时候就过掉验证窗体不要验证窗体直接使用功能我个人好像就知道E语言可以进行以前的CC老版本可以进行push窗体飘零金盾可可也可以但是可能没功能而且飘零那货好坏的push窗体好像会检测检测到改变了就蓝你本地封包也是破解的一种方法网络验证通过发送输入到服务器服务器验证过后就发送数据回到软件进行对比正确就让你用功能不正确就失败所以只要我们做个数据发给服务器服务器给正确的数据给软件就能用了但是这个方法一定要正确的帐号和密码用于网络验证注册机用于一机一码的软件注册码有可能是通用有可能是算出来的所以我们可以通过逆出算法算出正确的注册码也可以做内存注册机直接拦截已经算出来的注册码Anti反调试一般来说是检测调试器OD所以我们才有隐藏插件SOD检测到好一点的作者就退出不好的话就蓝你格你各种狠壳的话一般就是直接终止比较变态啊时钟检测如果大家玩过新版本的CC飘零金盾就知道如果你下F2按钮事件断点他就自动断下无法找到正确的按钮事件也是防止破解的一个方法还有就是检测hosts文件和ESP11.dllCC的一般会检测这两个飘零就只是检测hosts有木有被修改都是防止直接拦截软件验证进行IP转向到你的服务器等自校验防止软件被脱壳破解的一种方法脱壳的话软件体积会增大所以一般的自校验是获取软件的大小进行对比还有的就是MD5校验如果软件改动了一个字节都会改变MD5比较蛋疼的一个问题暗桩自校验和暗桩又有点不同暗桩是指软件的二次验证比如说你破解了一个软件的功能但是软件会进行二次校验通过比对以后看你是不是注册用户如果不是的话就没功能什么的StlenCode抽代码的意思软件为了防止脱壳就把入口点的代码抽取掉各种坏啊抽取后的软件剩下的就是一个假的OEP了所以我们要补码什么的灰常烦和VM一样蛋疼一般来说遇到强壳像TMDSEVMPZPAsprotectAcprotectAMD(穿山甲)几大强壳都是有各种抽取滴其中以SE最变态不要说脱壳机脱壳脚本就是连脱壳教程也少得可怜各种难那