pigeon0411 发表于 2007-8-12 23:18:22

以MSN聊天记录远程查看器v2.3为例另类脱PECompact 1.68 - 1.84+反脱壳校验破解分析

【破文标题】以MSN聊天记录远程查看器v2.3为例另类脱PECompact 1.68 - 1.84+反脱壳校验破解分析
【破文作者】pigeon0411
【作者邮箱】[email protected]
【作者主页】
【破解工具】peid0.94+OD
【破解平台】XPsp2
【软件名称】MSN聊天记录远程查看器v2.3
【软件大小】308K
【原版下载】http://shareware.skycn.com/soft/12751.htm

【保护方式】PECompact 1.68 - 1.84 -> Jeremy Collake +反脱壳校验
【软件简介】   
    ★目前唯一一款可以查看远程MSN聊天记录的软件!
    ★MSN聊天记录远程查看器可以免密码查看本地计算机及远程计算机的MSN聊天记录
    ★它由本地端及远程端共同组成,(远程端不提供下载,需要您注册后,由我们亲自发送到您的邮箱中)
    ★本地端:负责查看本地计算机上的所有MSN聊天记录
    ★远程端:负责将远程计算机上的MSN聊天记录发回到您的邮箱中(对方每次重新启动电脑或者持续运行了2-3小时左右均会发送记录)

【破解声明】初学Crack,只是感兴趣,没有其它目的。失误之处敬请诸位大侠赐教!
------------------------------------------------------------------------
【破解过程】    /*专为初学者写*/
    看到酷子的破文 https://www.chinapyg.com/viewthread.php?tid=17142&extra=page%3D1,是关于破解本软件的,但是在脱壳过程中遇到了反脱壳现象。如果带壳破解的话,对初学者来说可能不太适合。本文就是专门就如何脱该软件的壳来进行简单分析。
    该软件经PEID查为PECompact 1.68 - 1.84 -> Jeremy Collake,用脱壳工具或者手动脱壳后,运行,出现提示:Incomplete Zip File,同时会生成一个xduyefda.rar的文件。
    解决这种反脱壳的方法很多,比如继续用OD将其自校验跳走,但是对于初学者来说这似乎有点难度。现在我就用另一种思路来对其脱壳。
   我们运行原程序msnsee.exe后,发现它产生了一个隐藏属性的msnsee.uzy文件,而且在系统进程中,你会发现根本没有msnsee.exe,而只有msnsee.uzy,那说明真正运行的程序是经处理后的msnsee.uzy。
   1.我们把msnsee.uzy的后辍改成.exe不妨重命名为pigeon.exe(msnsee.uzy-->重命名为pigeon.uzy,改其后辍为.exe,即pigeon.exe,我在这个里改名是为了大家与原程序msnsee.exe区别)。双击后,正常运行。
   2.接下来用peid0.94查pigeon.exe壳,发现壳变成了ASPack 2.12 -> Alexey Solodovnikov,呵呵,这个壳,我想大家都会脱吧?脱壳机,手动都行。我比较喜欢用ESP定律和内存镜像法,这两种又快又有成就感 : )
   3.脱壳后,再用peid0.94查,发现原来是Microsoft Visual Basic 5.0 / 6.0 ,大家不妨再练练如何暴破,追注册码吧。
PS:第一次在PYG发表破文,有不周之处敬请大家指正。
------------------------------------------------------------------------
【破解总结】本破文没什么技术含量,只是提示一下初学者们遇到问题不要着急,单就破解来讲,不是只有唯一的方法,多观察,多思考,总会有惊喜。
------------------------------------------------------------------------
【版权声明】转载请注明出处,请注明作者并保持文章的完整, 谢谢!

[ 本帖最后由 pigeon0411 于 2007-8-12 23:20 编辑 ]

chiaolong 发表于 2007-8-13 14:02:26

看不懂,但还有支持下了。/:012

酷子 发表于 2007-8-15 14:47:42

不错不错又学到一种新的思路,支持

gujin162 发表于 2007-8-23 14:07:34

LZ
貌似msnsee.uzy   这个会自动删除掉的
怎么可以改名阿
2007.08.2214:33
——————————————————————————————————
LZ
我知道怎么弄了
文件夹的工具栏点文件夹选项,再点查看,在隐藏文件和文件夹那里,把显示所有文件和文件夹点黑就可以了
2007.08.2214:35
——————————————————————————————————
PS:
LZ,你是怎么发现这个的?真精彩~
2007.08.22   14:35

[ 本帖最后由 gujin162 于 2007-8-23 14:32 编辑 ]

pigeon0411 发表于 2007-8-24 19:12:54

我的系统,习惯把 隐藏文件和文件夹这一项前的勾去掉,还有隐藏扩展名的那一项前的勾也去掉。为什么?你们试试就知道好处了。不但不容易漏掉一些重要的文件,而且如果装了个什么软件的话,发现有垃圾,病毒文件,基本上都能看到。。。

kelvar 发表于 2009-7-8 17:37:07

好方法,今天碰到一个类似的软件 易联超赢数据
也是这类型的,但是它好像在进程里还有原来的程序名字的进程存在的

jason000 发表于 2009-7-11 11:41:24

谢谢分析,学习了
页: [1]
查看完整版本: 以MSN聊天记录远程查看器v2.3为例另类脱PECompact 1.68 - 1.84+反脱壳校验破解分析