精华区文章阅读

发信人: CF (网事随风), 信区: Hacker
标  题: tKC的破解教程（二）
发信站: 哈工大紫丁香 (2000年09月18日09:49:35 星期一), 站内信件

http://sunbirdsoftware.abc.yesite.com
嗨，花花公子们（SB：这算什么招呼呀）！

现在又回到我的破解教程，这次我将教你如何去除NAGS（提示注册窗口）和如何使用
W32Dasm的调试模式（Debugger Mode），真的很简单呦！

抱歉有很多语法错误，我希望你能够看得懂！:-)
我们开始吧！

工具软件：

    你需要以下的工具软件（我使用这些工具软件，我假设你也将使用它们）：
W32Dasm 8.9或更高的版本
Hacker's View 5.60
Norton Commander或Windows Commander（我将在后面解释为什么使用它）

当你向任何Cracker求助时，他们都会乐于提供你这些工具软件:-)

目录：

1)a.如何去除Private EXE 2.0a的NAGs（使用W32Dasm的调试模式）
  b.如何去除Private EXE 2.0a的NAGs（不使用W32Dasm！！）
2)a.如何去除LView Pro 1.C/32的NAGs（使用W32Dasm的调试模式）
  b.如何破解LView Pro 1.C/32（输入任意序列号）

（由于一段时间没有猫，拿不到最新版本的共享软件，所以我使用这些旧程序来作示范。）

第一部分（a）：去除Private EXE 2.0a的NAGs（使用W32Dasm）

1. 运行PEXE32.EXE
2. 现在你看到了令人厌恶的NAGs屏幕，你希望把它除去，对不对？:-)
3. 好，退出程序
4. 运行Norton Commander，进入PrivateEXE路径
5. 将PEXE32.EXE复制为PEXE32.EXX（留作备份），将PEXE32.EXE复制为1.EXE（给W32Dasm
用）
6. 运行W32Dasm，反编译1.EXE
7. 当反编译完成后，单击Debug|Load Process（或按CTRL-L）
8. 等候调试模式调入所有的DLL's（动态链接库）
9. 好，现在你在"debug"窗口，你应该看到光条停在：

    :004074B0 mov eax, dword ptr fs: [00000000]
    :004074B6 push ebp
    ...
...

10. 这就是程序的入口（Program Entry Point）。好，准备运行Private EXE，单击RUN（
或按F9）。你将看到NAGs屏幕，现在你想知道NAGs进程（processes）在哪儿。单击Step
Into（或按F7）。啊！现在你看到了如下内容：

    :00405C21 call USER32.DialogBoxParamA
    :00405C27 pop ebp
    ...
    ...

11. 单击Terminate关闭调试模式和Private.EXE窗口
12. 你应该回到W32Dasm并看到如下内容：

    :00405C21 FF1590664100         Call dword ptr [00416690]
    :00405C27 5D                   pop ebp
    :00405C28 C3                   ret
    ...

13. 好，现在你需要查找是从哪里开始处理对话框（dialogs）的。按上箭头直到你找到：

    :00405BFC CC                   int 03
    :00405BFD CC                   int 03
    :00405BFE CC                   int 03

    * Referenced by a (U)nconditional or (C)onditional Jump at Address:
    |:00401064 (U)
    |
    :00405BFF 55                   push ebp
    :00405C00 8B442414             mov eax, dword ptr [esp+14]
    ...

14. 这些"CC"（int 03）就是处理对话框的开始。确定蓝绿色光条处于：00405BFF 55处，
按ebp，你会在屏幕下面看到象这样的偏移地址@Offset 00004FFFh。那就是你可以在
PEXE32.EXE打补丁的地方
15. 回到Norton Commander，运行HIEW PEXE32.EXE，按F4选择Decode模式（ASM），按F5输
入4FFF，你会看到：

    00005BFF: 55                           push   ebp
    00005C00: 8B442414                     mov    eax,[esp][00014]
    00005C04: 8BEC                         mov    ebp,esp
    00005C06: 85C0                         test   eax,eax

    （记住，现在我使的是HIEW5.60，它会显示和你不同的偏移地址，这个版本棒极了，去
找它！！）

16. 这就是你可以更改字节的地方，按F3输入C3，按F9更新PEXE32.EXE。当你按F3输入C3后
，你会看到：

    00004FFF: C3                           retn
    00005000: 8B442414                     mov    eax,[esp][00014]
    00005004: 8BEC                         mov    ebp,esp
    00005006: 85C0                         test   eax,eax

    （注意偏移地址）

17. 为什么是"C3"？啊，当程序运行到C3处（retn），它不会去处理对话框，因为你告诉它
返回吧！
18. 现在运行PEXE32.EXE，你还看到NAGs屏幕吗？嗯！！你已经破解了Private EXE 2.0a！
！

顺便说一句：这并不是100％的破解（绕过口令保护），我仅仅是向你展示如何去除NAGs，
记得吗？:-)

第一部分（b）：去除Private EXE 2.0a的NAGs（不用W32Dasm）

（这种方法多快好省）

1. 运行PEXE32.EXE
2. 现在你看到了令人厌恶的NAGs屏幕，你希望把它除去，对不对？:-)
3. 好，退出程序
4. 运行Norton Commander，进入PrivateEXE路径
5. 将PEXE32.EXE复制为PEXE32.EXX（留作备份），运行HIEW PEXE32.EXE
6. 按F4选择16进制模式（HEX Mode），现在你会看到PEXE32.EXE的16进制代码，不要吓得
尿裤子呦！:-)
7. 还记得在NAGs屏幕出现的字符吗？啊，在运行PEXE32.EXE时你应该写下这些字符。象
"PrivateEXE is NOT a free software. It is commercial…"或"Ok, I agree…"等等。
8. 按F7搜索，输入"agree"（在ASCII区域）。找到了吗？好，记住PEXE32.EXE是32位程序
，所以在每个字符间需要输入字符串"00"，象"a g r e e"（不是空格！）
9. 再次按F7，输入"a"（在ASCII区域），按下箭头输入"00"（在HEX区域），按上箭头，输
入"g"，按下箭头，"00"，上箭头，"r"，下箭头，"00"，上箭头，"e"，下箭头"00"，上箭
头，"e"。你会看到：

    赏[F2:Forward /F4:Full ]屯屯屯屯屯屯屯屯屯屯...
    ?ASCII: a g r e e鞍鞍鞍鞍鞍?              ...
    ?                                          ...
    ?  Hex: 61 00 67 00 72 00 65 00 65 鞍鞍鞍鞍...
    韧屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯...

10. 好，按回车寻找这个字符串，你会看到：

    .00019300:  00 00 F0 00-14 01 00 00-00 00 41 00-62 00 6F 00    ?__    A b
o
    .00019310:  75 00 74 00-20 00 50 00-72 00 69 00-76 00 61 00  u t   P r i v
a
    .00019320:  74 00 65 00-45 00 58 00-45 00 00 00-08 00 4D 00  t e E X E   M
    .00019330:  53 00 20 00-53 00 61 00-6E 00 73 00-20 00 53 00  S   S a n s
S
    .00019340:  65 00 72 00-69 00 66 00-00 00 00 00-01 00 01 50  e r i f     _
_P
    .00019350:  00 00 00 00-19 00 EA 00-5A 00 0E 00-01 00 FF FF      _ ?Z  _
??
    .00019360:  80 00 26 00-4F 00 6B 00-2C 00 20 00-49 00 20 00  € & O k ,   I
    .00019370:  61 00 67 00-72 00 65 00-65 00 00 00-00 00 00 00  a g r e e
    .00019380:  00 00 01 50-00 00 00 00-7B 00 EA 00-5A 00 0E 00    _P    { ?Z
    .00019390:  65 00 FF FF-80 00 4F 00-72 00 64 00-65 00 72 00  e ??€ O r d e
r
    .000193A0:  69 00 6E 00-67 00 20 00-26 00 49 00-6E 00 66 00  i n g   & I n
f

11. 那些"Ok, I agree"、" Ordering"等是按钮，现在向下直到：

    .00019420:  81 00 02 50-00 00 00 00-11 00 9E 00-CC 00 21 00  ?_P    _ ??!
    .00019430:  FF FF FF FF-82 00 50 00-72 00 69 00-76 00 61 00  ????~ P r i v
a
    .00019440:  74 00 65 00-45 00 58 00-45 00 20 00-69 00 73 00  t e E X E   i
s
    .00019450:  20 00 4E 00-4F 00 54 00-20 00 61 00-20 00 66 00    N O T   a
f
    .00019460:  72 00 65 00-65 00 20 00-73 00 6F 00-66 00 74 00  r e e   s o f
t
    .00019470:  77 00 61 00-72 00 65 00-2E 00 20 00-49 00 74 00  w a r e .   I
t
    .00019480:  20 00 69 00-73 00 20 00-63 00 6F 00-6D 00 6D 00    i s   c o m
m
    .00019490:  65 00 72 00-63 00 69 00-61 00 6C 00-20 00 70 00  e r c i a l
p

12. 注意就在字符串"PrivateEXE is NOT a.."前面的"FF FF FF FF 82"，那就是产生对话
框的地方，记住只有4个"FF"和1个"82"可以改变！现在用方向键将光标移动到"82"处，在屏
幕上你会看到"19434"，现在按F3并将"82"该为"7E"，看屏幕，你应该在偏移地址14A34。这
就是你可以更改的地方。按F9更新PEXE32.EXE。
13. 记住你只有4个"FF"和1个"82"可以改动，否则你只好肏你自己的屁眼儿了（SB：好粗俗
呀）。现在当你将"82"改为"7E"后，它将不再产生对话框。退出HIEW并运行PEXE32.EXE。
14. 还有NAGs屏幕吗？嗯！！你已经破解了Private EXE 2.0a！！

第二部分（a）：去除LView Pro 1.C/32的NAGs（使用W32Dasm）

1. 运行LVIEWPRO.EXE
2. 现在你看到了令人厌恶的NAGs屏幕，你希望把它除去，对不对？:-)
3. 好，退出程序
4. 运行Norton Commander，进入LView Pro路径
5. 将LVIEWPRO.EXE复制为LVIEWPRO.EXX（留作备份），将LVIEWPRO.EXE复制为1.EXE（给
W32Dasm用）
6. 运行W32Dasm，反编译1.EXE
7. 当反编译完成后，单击Debug|Load Process（或按CTRL-L）
8. 等候调试模式调入所有的DLL's（动态链接库）
9. 好，现在你在"debug"窗口，你应该看到光条停在：

    :00450236 mov eax, dword ptr fs: [00000000]
    :0045023C push ebp
    ...
    ...

10. 这就是程序的入口（Program Entry Point）。好，准备运行LView PRO，单击RUN（或
按F9）。你将看到NAGs屏幕，现在你想知道NAGs进程（processes）在哪儿。单击Step
Into（或按F7）。啊！现在你看到了如下内容：

    :004324F1 cmp eax, FFFFFFFF
    :004324F4 jne 00432508
    ...
    ...

11. 单击Terminate关闭调试模式和LView Pro窗口
12. 你应该回到W32Dasm并看到如下内容：

    :004324F1 83F8FF               cmp eax, FFFFFFFF
    :004324F4 7512                 jne 00432508
    ...

13. 好，现在你需要查找是从哪里开始处理对话框（dialogs）的。按上箭头直到你找到：

    :004323ED CC                   int 03
    :004323EE CC                   int 03
    :004323EF CC                   int 03

    * Referenced by a CALL at Address:
    |:00407EEC
    |
    :004323F0 83EC78               sub esp, 00000078
    :004323F3 56                   push esi
    ...

14. 这些"CC"（int 03）就是处理对话框的开始。确定蓝绿色光条处于:004323F0 83EC78
sub esp, 00000078处，你会在屏幕下面看到象这样的偏移地址@Offset
000317F0h。那就是你可以在LVIEWPRO.EXE打补丁的地方
15. 回到Norton Commander，运行HIEW LVIEWPRO.EXE，按F4选择Decode模式（ASM），按
F5输入317F0，你会看到：

    .000323F0: 83EC78                       sub    esp,078  ;"x"
    .000323F3: 56                           push   esi
    .000323F4: 8BB42480000000               mov    esi,[esp][000000080]
    .000323FB: 85F6                         test   esi,esi

    （记住，现在我使的是HIEW5.60，它会显示和你不同的偏移地址，这个版本棒极了，去
找它！！）
16. 这就是你可以更改字节的地方，按F3输入C3，按F9更新LVIEWPRO.EXE。当你按F3输入
C3后，你会看到：

    000317F0: C3                           retn
    000317F1: EC                           in     al,dx
    000317F2: 7856                         js     00003184A
    000317F4: 8BB42480000000               mov    esi,[esp][000000080]
    000317FB: 85F6                         test   esi,esi

（注意偏移地址）

17. 为什么是"C3"？啊，当程序运行到C3处（retn），它不会去处理对话框，因为你告诉它
返回吧！
18. 现在运行LVIEWPRO.EXE，你还看到NAGs屏幕吗？嗯！！你已经破解了LView Pro 1.
C/32！！

    这里还有另外一个办法去除NAGs屏幕，想试试吗？好，返回1.执行到15.，接着作：

19. 现在你在偏移地址317F0处，你想看看是谁调用这个过程的。按F6选择Refer（它将找到
当前位置的调用处），你会看到：

    .00007EEC: E8FFA40200                   call  .0000323F0   ---------- (6)
    .00007EF1: 83C404                       add    esp,004
    .00007EF4: 33C0                         xor    eax,eax
    .00007EF6: E9320D0000                   jmp   .000008C2D   ---------- (7)

20. 啊，现在你知道是谁调用的对话框过程。按F3输入"9090909090"，按F9更新LVIEWPRO.
EXE，当你按F3输入"9090909090"后，你会看到：

    000072EC: 90                           nop
    000072ED: 90                           nop
    000072EE: 90                           nop
    000072EF: 90                           nop
    000072F0: 90                           nop
    000072F1: 83C404                       add    esp,004
    000072F4: 33C0                         xor    eax,eax

21. 那些"9090909090"使得程序不再调用对话框过程。现在运行LVIEWPRO.EXE，你还看到
NAGs屏幕吗？嗯！！你已经破解了LView Pro 1.C/32！！

第二部分（b）：如何破解LView Pro 1.C/32（输入任意序列号）

1. 运行LVIEWPRO.EXE
2. 单击Registration，接着I'll Register...，在Name处输入"TKC/PC '97"，在ID#处输入
"12345"
3. 你将看到错误信息（你需要写下这些信息），退出软件
4. 运行Norton Commander，进入LVP路径
5. 将LVIEWPRO.EXE复制为LVIEWPRO.EXX（留作备份），将LVIEWPRO.EXE复制为1.EXE（给
W32Dasm用）
6. 运行W32Dasm，反编译1.EXE
7. 当反编译完成后，单击STRING DATA REFERENCE，向下寻找字符串"User name and ID
numbers do not..."（你应该记得出错信息的），双击它
8. 关闭SDR窗口，你会看到：

    * Possible StringData Ref from Data Obj -> "User name and ID numbers..
                            -> "match, please verify if..
    :0041ED7D 68188F4600       push 00468F18
    :0041ED82 56               push esi

9. 好，现在你必须寻找在出错信息前的最后一个比较语句，例如CMP、JNE、JE、TEST等等
，按上箭头直到你找到：

    :0041ED7B 751A             jne 0041ED97
    * Possible StringData Ref from Data Obj -> "User name and ID numbers..
                            -> "match, please verify if..
    ...

10. 好，你知道当输入了错误的注册码后会跳转到哪里了。现在你想看看如果把"jne"改为
"je"会怎么样？确定绿色光条在:0041ED7B 751A jne 0041ED97上，你会在屏幕下面看到象
这样的偏移地址@Offset 0001E17Bh，那就是你可以在LVIEWPRO.EXE打补丁的地方
11. 回到Norton Commander，运行HIEW LVIEWPRO.EXE，按F4选择Decode模式（ASM），按
F5输入1E17B，你会看到：

    .0001ED7B: 751A                         jne   .00001ED97   ---------- (1)
    .0001ED7D: 68188F4600                   push   000468F18
    .0001ED82: 56                           push   esi

12. 这就是你可以更改字节的地方，按F3输入74，按F9更新LVIEWPRO.EXE，然后退出HIEW
13. 运行LVIEWPRO.EXE随便输入注册码，瞧！你已经破解了LVP 1.C/32！！小心！当你输入
了真正的注册码后会怎么样？它将跳转到错误信息对话框！怎么办？
14. 再次运行HIEW LVIEWPRO.EXE，按F4选择Decode、按F5输入1E17B、按F3输入EB、按F9。
它将不再跳转到错误对话框！

现在够了吧。我希望你们得到的比我做的多！:-)
我下次将在讲解Soft-ICE 3.0的教程（三）和大家见面。

                                                    The Keyboard Caper
                                              PhRoZeN CReW '94 - '97的创立人
                                                     1997年6月8日

--

再不学习，你就要......

※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.227.121]

PersonalCorpus 版 (精华区)