JackyChou 发表于 2008-5-14 20:12:28

彩影2008白金版分析,不完全破解(去除试用显示限制)

【文章标题】: 彩影2008白金版不完全破解(去除试用显示限制)
【文章作者】: JackyChou
【作者邮箱】: [email protected]
【软件名称】: 彩影2008白金版
【下载地址】: 自己搜索下载
【加壳方式】: 无壳
【保护方式】: 无保护
【编写语言】: VC 6.0
【使用工具】: OD,PEID
【操作平台】: XP SP3正版
【软件介绍】: 彩影是一款图像处理软件,功能比较强大。
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
   彩影2008白金版Demo版是真正的试用版,很多功能并没有增加,并且也是不能注册的,但是只要把未注册的图像显示限
制去除了,那么我们可以把处理好的图像用其他好的截图软件截图即可。因为软件的保存功能并没有添加,感兴趣的朋友可
以自行添加代码,增加其保存功能,这样应该也算Demo版的完美破解了。

    进入正题,我们主要还是将怎么去找未注册的限制,很多牛人分析软件一下子就拿关键部分来分析,但很少分析他是如
何找到这个关键部位的,可能很多时候我们想要知道的是如何找关键位置的过程,如果直接看关键代码感觉没有什么难度,
自己动手却发现很难找关键位置(菜鸟观点)。
    本文涉及内容:如何去除以下几个限制
    ①启动软件,提示注册对话框(NAG窗口)。
    ②软件关闭,提示注册对话框(NAG窗口)。
    ③载入图片,在图像右上角显示一个较大的【未注册版本】图案。
    ④载入图片,在图像左下角显示一个淡灰色字体较大的百分比数字。
    其他说明:在软件中如果有未注册提示的,都是功能没有添加的(如保存图片,如将系列图片保存为GIF),如果你想
需要该功能,那么可以把相应位置的代码全部NOP掉,然后尝试添加自己所想的代码。

    下面针对上面几个限制点来分析如何进行去除。
    ①启动软件,提示注册对话框(NAG窗口)的去除。
    要去除该提示窗口,我先下断DestroyWindow比较容易找建立NAG窗口的位置,因为那个对话框应该是模态对话框。
    bp DestroyWindow F9运行,断在下面位置:
---------------------------------------------------------------------------------------------------
77D2B19C >B8 63110000   mov   eax, 1163                                       ; 断在这里
77D2B1A1    BA 0003FE7F   mov   edx, 7FFE0300
77D2B1A6    FF12            call    dword ptr
77D2B1A8    C2 0400         retn    4
---------------------------------------------------------------------------------------------------

    可能你这个时候就要去除断点,Alt + F9返回程序领空了,但是我们再看下右下堆栈窗口
---------------------------------------------------------------------------------------------------
0012ED9C   73D36C14/CALL 到 DestroyWindow 来自 MFC42.73D36C0E
0012EDA0   000C09C4\hWnd = 000C09C4 (class='Afx:400000:0:10011:0:0',parent=001409D6)
0012EDA4   005789ACCaiYing.005789AC
0012EDA8   77D2AEABUSER32.UpdateWindow
0012EDAC   00578978CaiYing.00578978
---------------------------------------------------------------------------------------------------

    class='Afx:400000:0:10011:0:0'从这个可以看出来,并不是NAG窗口的销毁,一般MFC建立的窗口class=#32770。我们
继续F9,发现刚才那个窗口并没有销毁,继续点关闭窗口按钮。断在下面位置
---------------------------------------------------------------------------------------------------
77D2B19C >B8 63110000   mov   eax, 1163         ; 程序断在这里
77D2B1A1    BA 0003FE7F   mov   edx, 7FFE0300
77D2B1A6    FF12            call    dword ptr
77D2B1A8    C2 0400         retn    4
---------------------------------------------------------------------------------------------------

   这个时候我们看右下角的堆栈窗口:
---------------------------------------------------------------------------------------------------
0012EDEC   73D36C14/CALL 到 DestroyWindow 来自 MFC42.73D36C0E
0012EDF0   000A0CFA\hWnd = 000A0CFA ('欢迎使用彩影2008!',class='#32770',parent=001409D6)
---------------------------------------------------------------------------------------------------

   对了,这次肯定是刚才建立的对话框进行销毁了,第一次断下的可能是其他东西的销毁,我后来又试了下,发现不点关
闭按钮也会断下的,继续F9运行,再点关闭,就断在上面位置了。好了,这个时候可以去除断点,可以Alt + F9返回程序领
空了。返回到下面位置:
---------------------------------------------------------------------------------------------------
00467BFA   .E8 61790400   call    <jmp.&MFC42.#2514_CDialog::DoModal>      ;这边是建立模态对话框
00467BFF   .53            push    ebx                                        ;Alt+F9程序返回到这里
00467C00   .8BCE          mov   ecx, esi
00467C02   .E8 2F850400   call    <jmp.&MFC42.#1768_CWnd::CenterWindow>
00467C07   .6A 03         push    3
00467C09   .8BCE          mov   ecx, esi
00467C0B   .E8 CA7A0400   call    <jmp.&MFC42.#6215_CWnd::ShowWindow>
00467C10   .8D8C24 7C0100>lea   ecx, dword ptr
00467C17   .C78424 C40100>mov   dword ptr , 3
00467C22   .E8 357A0400   call    <jmp.&MFC42.#609_CButton::~CButton>
00467C27   .8D8C24 3C0100>lea   ecx, dword ptr
00467C2E   .C68424 C40100>mov   byte ptr , 2
00467C36   .E8 217A0400   call    <jmp.&MFC42.#609_CButton::~CButton>
00467C3B   .8D4C24 70   lea   ecx, dword ptr
00467C3F   .C68424 C40100>mov   byte ptr , 1
00467C47   .E8 C432FFFF   call    0045AF10
00467C4C   .8D4C24 10   lea   ecx, dword ptr
00467C50   .C78424 C40100>mov   dword ptr , -1
00467C5B   .E8 0E7A0400   call    <jmp.&MFC42.#641_CDialog::~CDialog>
00467C60   .33C0          xor   eax, eax
00467C62   .EB 03         jmp   short 00467C67
00467C64   >83C8 FF       or      eax, FFFFFFFF
00467C67   >8B8C24 BC0100>mov   ecx, dword ptr
00467C6E   .5F            pop   edi
00467C6F   .5E            pop   esi
00467C70   .5D            pop   ebp
00467C71   .64:890D 00000>mov   dword ptr fs:, ecx
00467C78   .5B            pop   ebx
00467C79   .81C4 B8010000 add   esp, 1B8
00467C7F   .C2 0400       retn    4
---------------------------------------------------------------------------------------------------
这下我们就很容易知道,00467BFA这个地址是建立那个烦人的NAG窗口(注册提示窗口),我们只要NOP掉即可。这样第一个
问题解决,下面我们继续第二个点。

    ②软件关闭,提示注册对话框(NAG窗口)。
    由于这个和第一个限制点相似,所以这里不再仔细介绍,这里注意下断DestroyWindow函数的时候,应该在关闭程序后
再下断,不然程序关闭你就断下了,在程序关闭后,显示NAG窗口时再下断,这样返回的位置就是建立NAG窗口的地方了。
我这里就简单把位置说下:
---------------------------------------------------------------------------------------------------
00417BB1   .E8 AA790900   call    <jmp.&MFC42.#2514_CDialog::DoModal>               ;NAG窗口建立
00417BB6   .66:A1 5487570>mov   ax, word ptr                                ;返回到这里
00417BBC   .B9 40000000   mov   ecx, 40
00417BC1   .66:8985 E0FEF>mov   word ptr , ax
00417BC8   .33C0          xor   eax, eax
---------------------------------------------------------------------------------------------------

这样把00417BB1地址的代码NOP掉就可以了。好了,前面2点很简单,本来不想写,但是我初学的时候走了很多弯路,所以
还是想写下来给初学者看看,少走点弯路,很多初学者都是用查找字符串的方法来找位置,但我还是推荐大家根据程序的
运行情况来下断找位置,可以理解程序大概的思路,另外提醒喜欢破解的初学者最好更喜欢编程,这样你分析别人程序的
时候更加能得心应手。继续正题,下面开始说第三点。

    ③载入图片,在图像右上角显示一个较大的【未注册版本】图案。
    找这个位置,其实我也花了点时间找,因为有时候即使看到那个关键点你也不一定能知道这个点就是添加
【未注册版本】图案的。我汇编一点都不好,所以分析算法什么的就比较差了,继续和大家一起努力学习。关于这个点的
解决,我们首先分析下程序执行过程,图片载入后会显示那个图案,那么我们可以在载入图片前,下断CreateFileA试试,
看看程序后面的执行(这里还是想说下多学学编程就可以知道这里可以先试试这个API了,不然也没有经验啊)。
    bp CreateFileA 载入图片,断在下面位置:
---------------------------------------------------------------------------------------------------
7C801A28 >8BFF            mov   edi, edi                                    ; 断下位置
7C801A2A    55            push    ebp
7C801A2B    8BEC            mov   ebp, esp
7C801A2D    FF75 08         push    dword ptr
7C801A30    E8 CFC60000   call    7C80E104
7C801A35    85C0            test    eax, eax
7C801A37    74 1E         je      short 7C801A57
7C801A39    FF75 20         push    dword ptr
7C801A3C    FF75 1C         push    dword ptr
7C801A3F    FF75 18         push    dword ptr
7C801A42    FF75 14         push    dword ptr
7C801A45    FF75 10         push    dword ptr
7C801A48    FF75 0C         push    dword ptr
7C801A4B    FF70 04         push    dword ptr
7C801A4E    E8 9DED0000   call    CreateFileW
7C801A53    5D            pop   ebp
7C801A54    C2 1C00         retn    1C
---------------------------------------------------------------------------------------------------

去除断点,Alt + F9返回程序领空。
---------------------------------------------------------------------------------------------------
00499030 >/$81EC 04010000 sub   esp, 104
00499036|.53            push    ebx
00499037|.55            push    ebp
00499038|.56            push    esi
00499039|.57            push    edi
0049903A|.8BBC24 1C0100>mov   edi, dword ptr
00499041|.8BE9          mov   ebp, ecx
00499043|.85FF          test    edi, edi
00499045|.76 58         jbe   short 0049909F
00499047|.83FF 10       cmp   edi, 10
0049904A|.73 53         jnb   short 0049909F
0049904C|.8B8424 180100>mov   eax, dword ptr
00499053|.68 40935600   push    00569340                                    ; /rb
00499058|.50            push    eax                                           ; |path
00499059|.FF15 DC5E5200 call    dword ptr [<&MSVCRT.fopen>]                   ; \fopen
0049905F|.8BF0          mov   esi, eax                                    ;Alt + F9程序返回到这里
00499061|.83C4 08       add   esp, 8
00499064|.85F6          test    esi, esi
00499066|.75 0F         jnz   short 00499077                              ;这边是跳转的
00499068|.5F            pop   edi
00499069|.5E            pop   esi
0049906A|.5D            pop   ebp
0049906B|.32C0          xor   al, al
0049906D|.5B            pop   ebx
0049906E|.81C4 04010000 add   esp, 104
00499074|.C2 0800       retn    8
00499077|>57            push    edi
00499078|.56            push    esi
00499079|.8BCD          mov   ecx, ebp
0049907B|.E8 B0040000   call    CxImage::Decode                               ;这边应该是图像解析
00499080|.56            push    esi                                           ; /stream
00499081|.8AD8          mov   bl, al                                        ; |
00499083|.FF15 E05E5200 call    dword ptr [<&MSVCRT.fclose>]                  ; \fclose
00499089|.83C4 04       add   esp, 4
0049908C|.84DB          test    bl, bl
0049908E|.74 0F         je      short 0049909F                              ;这边没有跳
00499090|.5F            pop   edi
00499091|.5E            pop   esi
00499092|.8AC3          mov   al, bl
00499094|.5D            pop   ebp
00499095|.5B            pop   ebx
00499096|.81C4 04010000 add   esp, 104
0049909C|.C2 0800       retn    8                                             ;程序返回
---------------------------------------------------------------------------------------------------
下面开始进行单步走了,走着走着,进行消息循环了,死翘翘,看来需要另辟路径,水平太菜。

    这时不要灰心,更不要随便去找,我们再想想,发现左下角显示一个淡灰色字体较大的百分比数字。也就是我们要解决
的第④点,一开始我以为一直是显示100%,所以可能是固定的,后来发现是会变化的,有时会显示94%,机会应该来了,这个
点可以找到突破口,这里肯定是格式化字符串了,那么可以下断API sprintf来找,试了下,不是关键位置,所以代码就不贴
了,后来一想,现在一般都是用宽字节了,所以应该下断API swprintf来找,先载入图片,下断bp swprintf,切换到显示
窗口,断在下面位置:
---------------------------------------------------------------------------------------------------
77C0F9C8 >8BFF            mov   edi, edi                     ; 断在这里
77C0F9CA    55            push    ebp
77C0F9CB    8BEC            mov   ebp, esp
77C0F9CD    83EC 20         sub   esp, 20
77C0F9D0    8B45 08         mov   eax, dword ptr
77C0F9D3    8945 E8         mov   dword ptr , eax
77C0F9D6    8945 E0         mov   dword ptr , eax
77C0F9D9    56            push    esi
77C0F9DA    8D45 10         lea   eax, dword ptr
77C0F9DD    50            push    eax
77C0F9DE    FF75 0C         push    dword ptr
77C0F9E1    8D45 E0         lea   eax, dword ptr
77C0F9E4    50            push    eax
77C0F9E5    C745 EC 4200000>mov   dword ptr , 42
77C0F9EC    C745 E4 FFFFFF7>mov   dword ptr , 7FFFFFFF
77C0F9F3    E8 DC370000   call    77C131D4
77C0F9F8    83C4 0C         add   esp, 0C
77C0F9FB    FF4D E4         dec   dword ptr
77C0F9FE    8BF0            mov   esi, eax
77C0FA00    78 0B         js      short 77C0FA0D
77C0FA02    8B45 E0         mov   eax, dword ptr
77C0FA05    C600 00         mov   byte ptr , 0
77C0FA08    FF45 E0         inc   dword ptr
77C0FA0B    EB 0D         jmp   short 77C0FA1A
77C0FA0D    8D45 E0         lea   eax, dword ptr
77C0FA10    50            push    eax
77C0FA11    6A 00         push    0
77C0FA13    E8 45F2FFFF   call    _flsbuf
77C0FA18    59            pop   ecx
77C0FA19    59            pop   ecx
77C0FA1A    FF4D E4         dec   dword ptr
77C0FA1D    78 08         js      short 77C0FA27
77C0FA1F    8B45 E0         mov   eax, dword ptr
77C0FA22    C600 00         mov   byte ptr , 0
77C0FA25    EB 0D         jmp   short 77C0FA34
77C0FA27    8D45 E0         lea   eax, dword ptr
77C0FA2A    50            push    eax
77C0FA2B    6A 00         push    0
77C0FA2D    E8 2BF2FFFF   call    _flsbuf
77C0FA32    59            pop   ecx
77C0FA33    59            pop   ecx
77C0FA34    8BC6            mov   eax, esi
77C0FA36    5E            pop   esi
77C0FA37    C9            leave
77C0FA38    C3            retn
---------------------------------------------------------------------------------------------------

再看下堆栈窗口:
---------------------------------------------------------------------------------------------------
0012F69C   0042B509/CALL 到 swprintf 来自 CaiYing_.0042B503
0012F6A0   0012F98C|wstr = 0012F98C
0012F6A4   0056A648|format = "%3.0f%%"
0012F6A8   00000000\<%3.0f> = 0.0
0012F6AC   40590000
0012F6B0   73D4497AMFC42.#4874_CView::OnPaint
---------------------------------------------------------------------------------------------------
应该肯定是这里了,而且是在OnPaint函数下,我对MFC比较熟悉,所以肯定就是这里了。去除断点,Alt + F9返回到下面

==========================================================================================
上面还有很多代码,不贴了,感兴趣的自己下载个分析分析
==========================================================================================
0042B4F3   .8D8424 E40200>lea   eax, dword ptr                      ; |
0042B4FA   .DD1C24      fstp    qword ptr                               ; |
0042B4FD   .68 48A65600   push    0056A648                                     ; |%
0042B502   .50            push    eax                                          ; |wstr
0042B503   .FF15 905E5200 call    dword ptr [<&MSVCRT.swprintf>]               ; \swprintf
0042B509   .8B4C24 4C   mov   ecx, dword ptr                       ;Alt + F9程序返回在这里
0042B50D   .83C4 10       add   esp, 10
0042B510      E9 E6030000   jmp   0042B8FB                                     ;这边就可以把下面的全部跳过了。
0042B515      90            nop
0042B516      90            nop
0042B517      90            nop
0042B518   .85C0          test    eax, eax
0042B51A   .74 04         je      short 0042B520
0042B51C   .894424 40   mov   dword ptr , eax
0042B520   >8D9424 DC0200>lea   edx, dword ptr
0042B527   .52            push    edx                                          ; /s
0042B528   .FF15 945E5200 call    dword ptr [<&MSVCRT.wcslen>]; \计算字符长度,我们下断这个函数也是可以找到的
0042B52E   .D94424 30   fld   dword ptr
0042B532   .8B4C24 18   mov   ecx, dword ptr
0042B536   .83C4 04       add   esp, 4
0042B539   .D95C24 50   fstp    dword ptr
0042B53D   .D94424 48   fld   dword ptr
0042B541   .D95C24 54   fstp    dword ptr
0042B545   .85C9          test    ecx, ecx
0042B547   .C74424 58 000>mov   dword ptr , 0
0042B54F   .C74424 5C 000>mov   dword ptr , 0
0042B557   .74 05         je      short 0042B55E
0042B559   .8B51 04       mov   edx, dword ptr
0042B55C   .EB 02         jmp   short 0042B560
0042B55E   >33D2          xor   edx, edx
0042B560   >8D4C24 24   lea   ecx, dword ptr
0042B564   .52            push    edx
0042B565   .F7D9          neg   ecx
0042B567   .1BC9          sbb   ecx, ecx
0042B569   .8D5424 54   lea   edx, dword ptr
0042B56D   .234C24 38   and   ecx, dword ptr
0042B571   .6A 00         push    0
0042B573   .52            push    edx
0042B574   .51            push    ecx
0042B575   .8B4C24 4C   mov   ecx, dword ptr
0042B579   .50            push    eax
0042B57A   .8D8424 F00200>lea   eax, dword ptr
0042B581   .50            push    eax
0042B582   .51            push    ecx
0042B583   .E8 463E0800   call    <jmp.&gdiplus.GdipDrawString>                ;这边就是描绘字符串了,跳过这里即可
0042B588   .85C0          test    eax, eax
0042B58A   .74 04         je      short 0042B590
0042B58C   .894424 40   mov   dword ptr , eax
0042B590   >8B9424 8C0000>mov   edx, dword ptr
0042B597   .68 FFFFFF80   push    80FFFFFF
0042B59C   .52            push    edx
0042B59D   .E8 443E0800   call    <jmp.&gdiplus.GdipSetSolidFillColor>
0042B5A2   .85C0          test    eax, eax
0042B5A4   .74 07         je      short 0042B5AD
0042B5A6   .898424 900000>mov   dword ptr , eax
0042B5AD   >8B8C24 8C0000>mov   ecx, dword ptr
0042B5B4   .8D4424 10   lea   eax, dword ptr
0042B5B8   .50            push    eax
0042B5B9   .51            push    ecx
0042B5BA   .C74424 18 000>mov   dword ptr , 0
0042B5C2   .E8 193E0800   call    <jmp.&gdiplus.GdipCloneBrush>
0042B5C7   .85C0          test    eax, eax
0042B5C9   .74 07         je      short 0042B5D2
0042B5CB   .898424 900000>mov   dword ptr , eax
0042B5D2   >6A 0C         push    0C
0042B5D4   .E8 013E0800   call    <jmp.&gdiplus.GdipAlloc>
0042B5D9   .85C0          test    eax, eax
0042B5DB   .74 1D         je      short 0042B5FA
0042B5DD   .8B8C24 900000>mov   ecx, dword ptr
0042B5E4   .8B5424 10   mov   edx, dword ptr
0042B5E8   .C700 40AD5200 mov   dword ptr , 0052AD40
0042B5EE   .8948 08       mov   dword ptr , ecx
0042B5F1   .8950 04       mov   dword ptr , edx
0042B5F4   .894424 14   mov   dword ptr , eax
0042B5F8   .EB 12         jmp   short 0042B60C
0042B5FA   >8B5424 10   mov   edx, dword ptr
0042B5FE   .C74424 14 000>mov   dword ptr , 0
0042B606   .52            push    edx
0042B607   .E8 C83D0800   call    <jmp.&gdiplus.GdipDeleteBrush>
0042B60C   >8D8424 DC0200>lea   eax, dword ptr
0042B613   .50            push    eax                                          ; /s
0042B614   .FF15 945E5200 call    dword ptr [<&MSVCRT.wcslen>]               ; \wcslen
0042B61A   .D94424 74   fld   dword ptr
0042B61E   .8B4C24 18   mov   ecx, dword ptr
0042B622   .83C4 04       add   esp, 4
0042B625   .D95C24 50   fstp    dword ptr
0042B629   .D94424 18   fld   dword ptr
0042B62D   .D95C24 54   fstp    dword ptr
0042B631   .85C9          test    ecx, ecx
0042B633   .C74424 58 000>mov   dword ptr , 0
0042B63B   .C74424 5C 000>mov   dword ptr , 0
0042B643   .74 05         je      short 0042B64A
0042B645   .8B51 04       mov   edx, dword ptr
0042B648   .EB 02         jmp   short 0042B64C
0042B64A   >33D2          xor   edx, edx
0042B64C   >8D4C24 24   lea   ecx, dword ptr
0042B650   .52            push    edx
0042B651   .F7D9          neg   ecx
0042B653   .1BC9          sbb   ecx, ecx
0042B655   .8D5424 54   lea   edx, dword ptr
0042B659   .234C24 38   and   ecx, dword ptr
0042B65D   .6A 00         push    0
0042B65F   .52            push    edx
0042B660   .51            push    ecx
0042B661   .8B4C24 4C   mov   ecx, dword ptr
0042B665   .50            push    eax
0042B666   .8D8424 F00200>lea   eax, dword ptr
0042B66D   .50            push    eax
0042B66E   .51            push    ecx
0042B66F   .E8 5A3D0800   call    <jmp.&gdiplus.GdipDrawString> ;这边还是描绘,那个百分数是描绘2次,叠加的效果
0042B674   .85C0          test    eax, eax
0042B676   .74 04         je      short 0042B67C
0042B678   .894424 40   mov   dword ptr , eax
0042B67C   >8B4C24 44   mov   ecx, dword ptr
0042B680   .8B41 0C       mov   eax, dword ptr
0042B683   .8B49 10       mov   ecx, dword ptr
0042B686   .3BC1          cmp   eax, ecx
0042B688   .8BD0          mov   edx, eax
0042B68A   .77 02         ja      short 0042B68E
0042B68C   .8BD1          mov   edx, ecx
0042B68E   >81FA 20030000 cmp   edx, 320
0042B694   .0F82 2D010000 jb      0042B7C7
0042B69A   .3BC1          cmp   eax, ecx
0042B69C   .8BD0          mov   edx, eax
0042B69E   .72 02         jb      short 0042B6A2
0042B6A0   .8BD1          mov   edx, ecx
0042B6A2   >81FA F4010000 cmp   edx, 1F4
0042B6A8   .0F82 19010000 jb      0042B7C7
0042B6AE   .8B85 EC110100 mov   eax, dword ptr
0042B6B4   .8B48 0C       mov   ecx, dword ptr
0042B6B7   .8B50 10       mov   edx, dword ptr
0042B6BA   .8B8424 940000>mov   eax, dword ptr
0042B6C1   .894C24 70   mov   dword ptr , ecx
0042B6C5   .2BF8          sub   edi, eax
0042B6C7   .8B8424 9C0000>mov   eax, dword ptr
0042B6CE   .03F8          add   edi, eax
0042B6D0   .895424 2C   mov   dword ptr , edx
0042B6D4   .897C24 18   mov   dword ptr , edi
0042B6D8   .33FF          xor   edi, edi
0042B6DA   .DB4424 18   fild    dword ptr
0042B6DE   .DB86 F4000000 fild    dword ptr
0042B6E4   .894C24 18   mov   dword ptr , ecx
0042B6E8   .897C24 1C   mov   dword ptr , edi
0042B6EC   .D95C24 14   fstp    dword ptr
0042B6F0   .DF6C24 18   fild    qword ptr
0042B6F4   .895424 18   mov   dword ptr , edx
0042B6F8   .897C24 1C   mov   dword ptr , edi
0042B6FC   .D84C24 20   fmul    dword ptr
0042B700   .D8E9          fsubr   st, st(1)
0042B702   .DF6C24 18   fild    qword ptr
0042B706   .D84C24 20   fmul    dword ptr
0042B70A   .D86C24 14   fsubr   dword ptr
0042B70E   .DED9          fcompp
0042B710   .DFE0          fstsw   ax
0042B712   .F6C4 41       test    ah, 41
0042B715   .75 14         jnz   short 0042B72B
0042B717   .894C24 18   mov   dword ptr , ecx
0042B71B   .897C24 1C   mov   dword ptr , edi
0042B71F   .DF6C24 18   fild    qword ptr
0042B723   .D84C24 20   fmul    dword ptr
0042B727   .DEE9          fsubp   st(1), st
0042B729   .EB 16         jmp   short 0042B741
0042B72B   >DDD8          fstp    st
0042B72D   .895424 18   mov   dword ptr , edx
0042B731   .897C24 1C   mov   dword ptr , edi
0042B735   .DF6C24 18   fild    qword ptr
0042B739   .D84C24 20   fmul    dword ptr
0042B73D   .D86C24 14   fsubr   dword ptr
0042B741   >E8 0A4F0800   call    <jmp.&MSVCRT._ftol>
0042B746   .8B5424 70   mov   edx, dword ptr
0042B74A   .C74424 1C 000>mov   dword ptr , 0
0042B752   .895424 18   mov   dword ptr , edx
0042B756   .894424 50   mov   dword ptr , eax
0042B75A   .DF6C24 18   fild    qword ptr
0042B75E   .D84C24 20   fmul    dword ptr
0042B762   .DA4424 50   fiadd   dword ptr
0042B766   .E8 E54E0800   call    <jmp.&MSVCRT._ftol>
0042B76B   .8BB6 F0000000 mov   esi, dword ptr
0042B771   .8BF8          mov   edi, eax
0042B773   .8B4424 7C   mov   eax, dword ptr
0042B777   .3BC6          cmp   eax, esi
0042B779   .7E 02         jle   short 0042B77D
0042B77B   .8BF0          mov   esi, eax
0042B77D   >8B4424 2C   mov   eax, dword ptr
0042B781   .C74424 1C 000>mov   dword ptr , 0
0042B789   .894424 18   mov   dword ptr , eax
0042B78D   .897424 54   mov   dword ptr , esi
0042B791   .DF6C24 18   fild    qword ptr
0042B795   .D84C24 20   fmul    dword ptr
0042B799   .DA4424 54   fiadd   dword ptr
0042B79D   .E8 AE4E0800   call    <jmp.&MSVCRT._ftol>
0042B7A2   .85DB          test    ebx, ebx
0042B7A4   .75 04         jnz   short 0042B7AA
0042B7A6   .33C9          xor   ecx, ecx
0042B7A8   .EB 03         jmp   short 0042B7AD
0042B7AA   >8B4B 04       mov   ecx, dword ptr
0042B7AD   >2BC6          sub   eax, esi
0042B7AF   .6A 00         push    0
0042B7B1   .50            push    eax
0042B7B2   .8B4424 58   mov   eax, dword ptr
0042B7B6   .2BF8          sub   edi, eax
0042B7B8   .57            push    edi
0042B7B9   .56            push    esi
0042B7BA   .50            push    eax
0042B7BB   .51            push    ecx
0042B7BC   .8B8D EC110100 mov   ecx, dword ptr
0042B7C2   .E9 2B010000   jmp   0042B8F2
0042B7C7   >3D C8000000   cmp   eax, 0C8
0042B7CC   .0F82 25010000 jb      0042B8F7
0042B7D2   .81F9 C8000000 cmp   ecx, 0C8
0042B7D8   .0F82 19010000 jb      0042B8F7
0042B7DE   .8B85 F0110100 mov   eax, dword ptr
0042B7E4   .8B48 0C       mov   ecx, dword ptr
0042B7E7   .8B50 10       mov   edx, dword ptr
0042B7EA   .8B8424 940000>mov   eax, dword ptr
0042B7F1   .894C24 70   mov   dword ptr , ecx
0042B7F5   .2BF8          sub   edi, eax
0042B7F7   .8B8424 9C0000>mov   eax, dword ptr
0042B7FE   .03F8          add   edi, eax
0042B800   .895424 2C   mov   dword ptr , edx
0042B804   .897C24 18   mov   dword ptr , edi
0042B808   .33FF          xor   edi, edi
0042B80A   .DB4424 18   fild    dword ptr
0042B80E   .DB86 F4000000 fild    dword ptr
0042B814   .894C24 18   mov   dword ptr , ecx
0042B818   .897C24 1C   mov   dword ptr , edi
0042B81C   .D95C24 14   fstp    dword ptr
0042B820   .DF6C24 18   fild    qword ptr
0042B824   .895424 18   mov   dword ptr , edx
0042B828   .897C24 1C   mov   dword ptr , edi
0042B82C   .D84C24 20   fmul    dword ptr
0042B830   .D8E9          fsubr   st, st(1)
0042B832   .DF6C24 18   fild    qword ptr
0042B836   .D84C24 20   fmul    dword ptr
0042B83A   .D86C24 14   fsubr   dword ptr
0042B83E   .DED9          fcompp
0042B840   .DFE0          fstsw   ax
0042B842   .F6C4 41       test    ah, 41
0042B845   .75 14         jnz   short 0042B85B
0042B847   .894C24 18   mov   dword ptr , ecx
0042B84B   .897C24 1C   mov   dword ptr , edi
0042B84F   .DF6C24 18   fild    qword ptr
0042B853   .D84C24 20   fmul    dword ptr
0042B857   .DEE9          fsubp   st(1), st
0042B859   .EB 16         jmp   short 0042B871
0042B85B   >DDD8          fstp    st
0042B85D   .895424 18   mov   dword ptr , edx
0042B861   .897C24 1C   mov   dword ptr , edi
0042B865   .DF6C24 18   fild    qword ptr
0042B869   .D84C24 20   fmul    dword ptr
0042B86D   .D86C24 14   fsubr   dword ptr
0042B871   >E8 DA4D0800   call    <jmp.&MSVCRT._ftol>
0042B876   .8B4C24 70   mov   ecx, dword ptr
0042B87A   .C74424 1C 000>mov   dword ptr , 0
0042B882   .894C24 18   mov   dword ptr , ecx
0042B886   .894424 50   mov   dword ptr , eax
0042B88A   .DF6C24 18   fild    qword ptr
0042B88E   .D84C24 20   fmul    dword ptr
0042B892   .DA4424 50   fiadd   dword ptr
0042B896   .E8 B54D0800   call    <jmp.&MSVCRT._ftol>
0042B89B   .8BB6 F0000000 mov   esi, dword ptr
0042B8A1   .8BF8          mov   edi, eax
0042B8A3   .8B4424 7C   mov   eax, dword ptr
0042B8A7   .3BC6          cmp   eax, esi
0042B8A9   .7E 02         jle   short 0042B8AD
0042B8AB   .8BF0          mov   esi, eax
0042B8AD   >8B5424 2C   mov   edx, dword ptr
0042B8B1   .C74424 7C 000>mov   dword ptr , 0
0042B8B9   .895424 78   mov   dword ptr , edx
0042B8BD   .897424 54   mov   dword ptr , esi
0042B8C1   .DF6C24 78   fild    qword ptr
0042B8C5   .D84C24 20   fmul    dword ptr
0042B8C9   .DA4424 54   fiadd   dword ptr
0042B8CD   .E8 7E4D0800   call    <jmp.&MSVCRT._ftol>
0042B8D2   .85DB          test    ebx, ebx
0042B8D4   .75 04         jnz   short 0042B8DA
0042B8D6   .33C9          xor   ecx, ecx
0042B8D8   .EB 03         jmp   short 0042B8DD
0042B8DA   >8B4B 04       mov   ecx, dword ptr
0042B8DD   >2BC6          sub   eax, esi
0042B8DF   .6A 00         push    0
0042B8E1   .50            push    eax
0042B8E2   .8B4424 58   mov   eax, dword ptr
0042B8E6   .2BF8          sub   edi, eax
0042B8E8   .57            push    edi
0042B8E9   .56            push    esi
0042B8EA   .50            push    eax
0042B8EB   .51            push    ecx
0042B8EC   .8B8D F0110100 mov   ecx, dword ptr
0042B8F2   >E8 396E0600   call    CxImage::Draw                              ;这边可以肯定是未注册大图案的描绘了
0042B8F7   >85DB          test    ebx, ebx                                     ;因为只有在最后画才会显示在最上面啊
0042B8F9   .74 09         je      short 0042B904
0042B8FB   .8B03          mov   eax, dword ptr                          ;上面的JMP到这里,一定要到这里
0042B8FD   .6A 01         push    1
0042B8FF   .8BCB          mov   ecx, ebx
0042B901   .FF50 04       call    dword ptr                             ;这个调用可能很有用
0042B904   >8B85 F4110100 mov   eax, dword ptr                    ;不要直接跳到这里
0042B90A   .5B            pop   ebx
0042B90B   .83F8 01       cmp   eax, 1
0042B90E   .75 63         jnz   short 0042B973
0042B910   .8B8D 9C110100 mov   ecx, dword ptr
0042B916   .85C9          test    ecx, ecx
0042B918   .75 40         jnz   short 0042B95A
0042B91A   .68 A8010000   push    1A8
0042B91F   .E8 303F0800   call    <jmp.&MFC42.#823_operator new>
0042B924   .83C4 04       add   esp, 4
0042B927   .894424 14   mov   dword ptr , eax
0042B92B   .85C0          test    eax, eax
0042B92D   .C68424 E00400>mov   byte ptr , 0D
0042B935   .74 19         je      short 0042B950
0042B937   .8B4D 54       mov   ecx, dword ptr
0042B93A   .6A 01         push    1
0042B93C   .6A 01         push    1
0042B93E   .6A 01         push    1
0042B940   .51            push    ecx
0042B941   .8BC8          mov   ecx, eax
0042B943   .E8 C85F0600   call    CxImage::CxImage
0042B948   .8985 9C110100 mov   dword ptr , eax
0042B94E   .EB 19         jmp   short 0042B969
0042B950   >33C0          xor   eax, eax
0042B952   .8985 9C110100 mov   dword ptr , eax
0042B958   .EB 0F         jmp   short 0042B969
0042B95A   >8B55 54       mov   edx, dword ptr
0042B95D   .6A 01         push    1
0042B95F   .6A 01         push    1
0042B961   .6A 01         push    1
0042B963   .52            push    edx
0042B964   .E8 E75F0600   call    CxImage::Copy
0042B969   >C785 F4110100>mov   dword ptr , 0
0042B973   >8B8424 880000>mov   eax, dword ptr
0042B97A   .C78424 840000>mov   dword ptr , 0052AD40
0042B985   .50            push    eax
0042B986   .E8 493A0800   call    <jmp.&gdiplus.GdipDeleteBrush>               ;下面开始就是一些GDI的画刷等的释放
0042B98B   .8B4C24 30   mov   ecx, dword ptr
0042B98F   .51            push    ecx
0042B990   .E8 333A0800   call    <jmp.&gdiplus.GdipDeleteFont>
0042B995   .8B9424 B00000>mov   edx, dword ptr
0042B99C   .52            push    edx
0042B99D   .E8 203A0800   call    <jmp.&gdiplus.GdipDeleteFontFamily>
0042B9A2   .8B4424 38   mov   eax, dword ptr
0042B9A6   .50            push    eax
0042B9A7   .E8 103A0800   call    <jmp.&gdiplus.GdipDeleteGraphics>
0042B9AC   >8B8C24 D80400>mov   ecx, dword ptr
0042B9B3   .5F            pop   edi
0042B9B4   .5E            pop   esi
0042B9B5   .5D            pop   ebp
0042B9B6   .64:890D 00000>mov   dword ptr fs:, ecx
0042B9BD   .81C4 D8040000 add   esp, 4D8
0042B9C3   .C2 0400       retn    4
=============================================================================================
说下,为什么一定要跳到0042B8FB这个地址,我们可以看到在call CxImage::Draw,判断了返回值,所以调用返回真
的画,会执行下面的一个Call,应该有用,如果跳过这几段小代码,直接到0042B904这个地址,我们会发现什么都不描
绘了。这边可能就是检查下未注册图案是否被描绘了,否则就把显示的全部去除了。

好了,到这里③④的限制全部去除了,虽然没有保存功能,但可以把处理好的图片用SnagIt捕获就可以了,而且效果还
不错的。就到这里,感谢您有这个耐心把我的菜鸟文章看完!!!

--------------------------------------------------------------------------------
【经验总结】
分析程序根据程序的运行情况来进行调试,不要漫无目的的进行随便搜索,虽然最后可能找到位置,但是花的时间很多,而
且不巧的话会自信心狂受打击。

--------------------------------------------------------------------------------
【版权声明】: 本文原创于飘云阁技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                       2008年05月14日 19:55:52

[ 本帖最后由 JackyChou 于 2008-5-14 20:19 编辑 ]

cdygr 发表于 2008-5-14 21:24:00

佩服,有很深的功底吧,虽然很多看不懂,但也获得一些启示

jiaofu999 发表于 2008-5-14 22:08:34

谢谢楼主。很是仔细呀。

iamok 发表于 2008-5-15 10:41:13

好厉害,学习了。。。

yqlxj 发表于 2008-5-15 16:56:20

NAG 窗口 我感觉 F12中断 更好解决吧!

JackyChou 发表于 2008-5-15 19:10:22

原帖由 yqlxj 于 2008-5-15 16:56 发表 https://www.chinapyg.com/images/common/back.gif
NAG 窗口 我感觉 F12中断 更好解决吧!

请给出这种方法的调试过程。

yunfeng 发表于 2008-5-16 07:38:07

有些地方还没看懂,再仔细看一下。

god888 发表于 2008-5-19 10:49:11

谢谢JACKCHOU,向你学习啊!

roking 发表于 2008-5-21 09:43:50

原帖由 JackyChou 于 2008-5-14 20:12 发表 https://www.chinapyg.com/images/common/back.gif
但我还是推荐大家根据程序的运行情况来下断找位置,可以理解程序大概的思路,另外提醒喜欢破解的初学者最好更喜欢编程,这样你分析别人程序的时候更加能得心应手。...

非常赞同!!

原帖由 JackyChou 于 2008-5-14 20:12 发表 https://www.chinapyg.com/images/common/back.gif
图片载入后会显示那个图案,那么我们可以在载入图片前,下断CreateFileA试试...

原帖由 JackyChou 于 2008-5-14 20:12 发表 https://www.chinapyg.com/images/common/back.gif
有时会显示94%,机会应该来了,这个点可以找到突破口,这里肯定是格式化字符串了,那么可以下断API sprintf来找,试了下,不是关键位置,所以代码就不贴了,后来一想,现在一般都是用宽字节了,所以应该下断API swprintf来找,先载入图片,下断bp swprintf...

开阔的思路!值得学习/:good /:good

aidj7878 发表于 2008-6-20 03:14:18

好东西哦 .............
页: [1]
查看完整版本: 彩影2008白金版分析,不完全破解(去除试用显示限制)