网站 › 『 软件逆向 』 › 网络传送带 (Net Transport)2.63.415 简体版 简单分析

Nisy 发表于 2008-8-3 16:06:49

网络传送带 (Net Transport)2.63.415 简体版 简单分析

网络传送带 (Net Transport)2.63.415 简体版

软件大小：2195KB
软件授权：共享版
更新时间：2008-7-28 9:17:17
华军下载：http://www.onlinedown.net/soft/2919.htm

有以下功能限制：
1. 启动NAG
2. 30天时间限制
3. 显示注册
4. 去广告等

运行后F12来定位 NAG 弹出的地址 然后重载 在该地址下硬件执行断点 F9跑起来

00468560    E8 5B1AFFFF   CALL NetTrans.00459FC0                   ; 检测从这里开始
00468565    85C0            TEST EAX,EAX
00468567    EB 4E         JMP SHORT NetTrans.004685B7            ;这里JMP掉
00468569    8D4C24 3C       LEA ECX,DWORD PTR SS:
0046856D    C68424 FC0F0000>MOV BYTE PTR SS:,6
00468575    E8 361AFFFF   CALL NetTrans.00459FB0
0046857A    8D4C24 24       LEA ECX,DWORD PTR SS:
0046857E    C68424 FC0F0000>MOV BYTE PTR SS:,3
00468586    E8 B3F90A00   CALL <JMP.&MFC42u.#800>
0046858B    8D4C24 20       LEA ECX,DWORD PTR SS:
0046858F    C68424 FC0F0000>MOV BYTE PTR SS:,0
00468597    E8 A2F90A00   CALL <JMP.&MFC42u.#800>
0046859C    8D4C24 10       LEA ECX,DWORD PTR SS:
004685A0    C78424 FC0F0000>MOV DWORD PTR SS:,-1
004685AB    E8 8EF90A00   CALL <JMP.&MFC42u.#800>
004685B0    33C0            XOR EAX,EAX
004685B2    E9 760D0000   JMP NetTrans.0046932D
004685B7    8D4C24 28       LEA ECX,DWORD PTR SS:
004685BB    E8 9CF90A00   CALL <JMP.&MFC42u.#540>
004685C0    6A 00         PUSH 0
004685C2    6A 00         PUSH 0
004685C4    8D4424 30       LEA EAX,DWORD PTR SS:
004685C8    6A 00         PUSH 0
004685CA    50            PUSH EAX
004685CB    8D4C24 4C       LEA ECX,DWORD PTR SS:
004685CF    C68424 0C100000>MOV BYTE PTR SS:,0A
004685D7    E8 F423FFFF   CALL NetTrans.0045A9D0                   ; 程序公用的算法CALL
004685DC    8B4C24 28       MOV ECX,DWORD PTR SS:
004685E0    8B41 F8         MOV EAX,DWORD PTR DS:
004685E3    85C0            TEST EAX,EAX
004685E5    EB 79         JMP SHORT NetTrans.00468660            ; 一定要跳
004685E7    6A 00         PUSH 0
004685E9    8D8C24 48010000 LEA ECX,DWORD PTR SS:
004685F0    E8 DBE80200   CALL NetTrans.00496ED0                   ; 这里弹出NAG
004685F5    8D8C24 44010000 LEA ECX,DWORD PTR SS:
004685FC    C68424 FC0F0000>MOV BYTE PTR SS:,0B
00468604    E8 1BF80A00   CALL <JMP.&MFC42u.#2506>
00468609    3D 55050000   CMP EAX,555
0046860E    75 14         JNZ SHORT NetTrans.00468624
00468610    6A 00         PUSH 0
00468612    6A 00         PUSH 0
00468614    8D5424 30       LEA EDX,DWORD PTR SS:
00468618    6A 00         PUSH 0
0046861A    52            PUSH EDX
0046861B    8D4C24 4C       LEA ECX,DWORD PTR SS:
0046861F    E8 AC23FFFF   CALL NetTrans.0045A9D0
00468624    8D8C24 A8010000 LEA ECX,DWORD PTR SS:
0046862B    C68424 FC0F0000>MOV BYTE PTR SS:,0D
00468633    E8 06F90A00   CALL <JMP.&MFC42u.#800>
00468638    8D8C24 A4010000 LEA ECX,DWORD PTR SS:
0046863F    C68424 FC0F0000>MOV BYTE PTR SS:,0C
00468647    E8 F2F80A00   CALL <JMP.&MFC42u.#800>
0046864C    8D8C24 44010000 LEA ECX,DWORD PTR SS:
00468653    C68424 FC0F0000>MOV BYTE PTR SS:,0A
0046865B    E8 F0F80A00   CALL <JMP.&MFC42u.#641>
00468660    8B4424 28       MOV EAX,DWORD PTR SS:
00468664    8B48 F8         MOV ECX,DWORD PTR DS:
00468667    85C9            TEST ECX,ECX                           ; 这里还有一处时间效检
00468669    75 6C         JNZ SHORT NetTrans.004686D7
0046866B    8D4C24 3C       LEA ECX,DWORD PTR SS:
0046866F    E8 8C27FFFF   CALL NetTrans.0045AE00
00468674    85C0            TEST EAX,EAX
00468676    EB 5F         JMP SHORT NetTrans.004686D7            ; 我选择这里JMP
00468678    8D4C24 28       LEA ECX,DWORD PTR SS:
0046867C    C68424 FC0F0000>MOV BYTE PTR SS:,9
00468684    E8 B5F80A00   CALL <JMP.&MFC42u.#800>
00468689    8D4C24 3C       LEA ECX,DWORD PTR SS:
0046868D    C68424 FC0F0000>MOV BYTE PTR SS:,6
00468695    E8 1619FFFF   CALL NetTrans.00459FB0
0046869A    8D4C24 24       LEA ECX,DWORD PTR SS:
0046869E    C68424 FC0F0000>MOV BYTE PTR SS:,3
004686A6    E8 93F80A00   CALL <JMP.&MFC42u.#800>
004686AB    8D4C24 20       LEA ECX,DWORD PTR SS:
004686AF    C68424 FC0F0000>MOV BYTE PTR SS:,0
004686B7    E8 82F80A00   CALL <JMP.&MFC42u.#800>
004686BC    8D4C24 10       LEA ECX,DWORD PTR SS:
004686C0    C78424 FC0F0000>MOV DWORD PTR SS:,-1
004686CB    E8 6EF80A00   CALL <JMP.&MFC42u.#800>
004686D0    33C0            XOR EAX,EAX
004686D2    E9 560C0000   JMP NetTrans.0046932D                  ; 如果没有去掉效检 这里跳走 程序就挂掉了
004686D7    8D8C24 40050000 LEA ECX,DWORD PTR SS:



算法CALL有 N 处调用 而功能限制的流程也是先调用算法CALL 然后来做比较 还是直接爆掉比较方便

按上方修改后 调整系统时间 程序依然可用 不过我们爆破后 还有一些地方有待完善 如功能限制 和 限制注册部分 先看下算法CALL

0045A9D0/$6A FF         PUSH -1                                  ;算法CALL
0045A9D2|.68 28045200   PUSH NetTrans.00520428                   ;溉3T; SE 处理程序安装

局部调用来自 0045EF8C, 0045FA40, 0045FE3E, 00461FF7, 004685D7, 0046861F, 00491EB9, 00497899

有很多处调用 简单猜测一下 程序的功能限制也会调用该CALL 下面我们看一下 功能限制 同样的方法

00461FF7   .E8 D489FFFF   CALL NetTrans.0045A9D0                   ;功能限制之灰钮
00461FFC   .8B4C24 04   MOV ECX,DWORD PTR SS:             ;MFC42u.5F8CB6D4
00462000   .8B41 F8       MOV EAX,DWORD PTR DS:
00462003   .85C0          TEST EAX,EAX
00462005   .EB 17         JMP SHORT NetTrans.0046201E            ;这里JMP掉 锁定弹出广告的灰钮即可打开

显示注册名这里就不多写了 方法相同 软件的保护体系一般 全靠网络验证的假象和程序对INT3的检测来忽悠人 直接做掉即可

夜冷风 发表于 2008-8-3 17:46:11

学习了.怎么这软件现在也需要注册.我记得以前使用都不需要注册

yyxljy 发表于 2008-8-4 09:45:34

原帖由 夜冷风 于 2008-8-3 17:46 发表 https://www.chinapyg.com/images/common/back.gif
学习了.怎么这软件现在也需要注册.我记得以前使用都不需要注册


很早就开始要求注册了.

修一明 发表于 2008-8-4 18:44:17

高科技啊...
向高手致敬..
学习中..

networkboy 发表于 2008-8-17 21:39:34

yyxljy 发表于 2008-9-6 14:34:03

网络传送带 (Net Transport)2.63.415 简体版好象有功能限制：下载十分钟左右就会弹出更新提示，点取消后几分钟程序自动退出并返到其网站购买页面，我测试了四次，程序退出时间分别为９分钟，１３分钟，１４分钟，14分钟．．．．．．

查看完整版本: 网络传送带 (Net Transport)2.63.415 简体版 简单分析