VB程序自检验去除请教!
BTW:偶尔到网络上下载了个王子网页突破 V1.0的脱壳和去自检验动画。没想到对它新版本的软件学习的时候,搞不来。。。;P ;P
软件名称:王子网页转换小精灵 V1.2.6
下载地址:http://www.skycn.com/soft/14929.html
http://fs165.driversky.com/down/PrinceSetup.exe
软件大小:1656 KB
软件语言:简体中文
软件类别:国产软件 / 免费版 / 网页辅助
应用平台:Win9x/NT/2000/XP
更新时间:2006-04-16 15:08:51
下载次数:13705
推荐等级:3
软件介绍:
你喜欢制作chm电子书吗?想把文件批量转换为网页格式吗?想要一个漂亮的电子相册吗?...
主要功能:网页制作,网页批量转换,电子书制作,文件分割合并,文件加密解密,分述如下:
1、文本文件 批量转换为 网页文件 (txt 等转换为 htm)
2、网页文件 批量转换为 文本文件 (htm 等转换为 txt)
3、WORD、EXCEL、POWERPOINT 文档 批量转换为 网页文件(doc xls ppt 等转换为 htm)
4、图片文件、FLASH、mp3 ,wmv文件 批量转换为 网页 (jpg gif swf mp3 wmv等--> htm)
5、支持 WORD(doc 文件) 一步生成电子书 (梦寐以求的 功能吧?呵呵。。。)
6、可以作为一个 文本文件的 电子书制作工具软件。(并可选择 网页模板或者CSS)
7、支持 图片文件一步 编译 为电子相册。(并可选择 电子相册模板 或者 CSS)
8、支持 mht 文件 一步生成电子书
9、网页取色功能。可以抓取屏幕上任何可见部分的颜色代码;目前 可抓取 三种格式的颜色
10、网页批量压缩功能。可以选择性的或批量压缩网页文件
11、批量加密文件,也可以解密文件。
12、批量分割文件,还可以合并文件。
13、文档合并功能。支持 多种文件格式合并为 HTML TXT RTF DOC 四种格式之一
14、支持 HTML 网页文件 一步 生成电子书。
15、网页特效收集管理功能。并且可以方便的批量插入到网页中
16、反编译 CHM 电子书。
17、网上搜索功能。与强大的中文搜索引擎---百度搜索整合
18、已经提供了 数个 CSS 和模板,注册后提供更多模板。你也可自行编写。使转换更随意
19、对 html 文件生成电子书 提供了两种选择
20、支持 ppt (powerpoint)文件一步生成电子书
21、支持 xls (excel)文件一步生成电子书
22、文本及网页文字 的批量替换
23、你除了可以转换上述列出的文件类型外,你也可以自己增加转换类型
++++++++++++++++++++++++++++++++
过程:
一、用PEiD查得:NsPack V1.4 -> LiuXingPing *壳。
二、OD忽略所有异常,载入程序后停在这里:
0065E964 >9C PUSHFD
0065E965 60 PUSHAD
0065E966 E8 00000000 CALL prince.0065E96B //单步到这,下命令断点,hr esp
F9运行程序:
0065EB88 9D POPFD
0065EB89- E9 5E61DAFF JMP prince.00404CEC//单步到程序OEP:4CEC.
+++++++++++++
Dump下来后查壳:Microsoft Visual Basic 5.0 / 6.0
之前1.0版本的自校验可以通过命令断点bp __vbaEnd,但这个不知道怎么搞啦。。。希望大鸟不啬赐教。
[ 本帖最后由 野猫III 于 2006-6-12 07:28 编辑 ] BP rtcFileLen (文件大小比较)和 BP rtcMsgBox (提示信息框)
下这两个断点应该可以去校验和暴破了``` 0063E9A2 .FF15 B8124000 call [<&MSVBVM60.rtcFileLen>] ;MSVBVM60.rtcFileLen
0063E9A8 .33D2 xor edx, edx
0063E9AA .3D 00E40200 cmp eax, 2E400
0063E9AF .0F95C2 setne dl
0063E9B2 .33D2 neg edx <---------改成 xor edx, edx
OK自效验去除
[ 本帖最后由 wzwgp 于 2006-6-12 15:49 编辑 ] 原帖由 wzwgp 于 2006-6-12 14:17 发表
0063E9A2 .FF15 B8124000 call ;MSVBVM60.rtcFileLen
0063E9A8 .33D2 xor edx, edx
0063E9AA .3D 00E40200 cmp eax, 2E400
0063E9AF .0F95C2 setne...
呵呵...说说原因嘛,为什么要这么改? bp FindFirstFileA
7C813559 >8BFF mov edi, edi ;断下
7C81355B 55 push ebp
7C81355C 8BEC mov ebp, esp
7C81355E 81EC 6C020000 sub esp, 26C
7C813564 A1 CC36887C mov eax,
取消断点 Alt+F9
0063E9A2 .FF15 B8124000 call [<&MSVBVM60.rtcFileLen>] ;MSVBVM60.rtcFileLen
0063E9A8 .33D2 xor edx, edx ;返回到此
0063E9AA .3D 00E40200 cmp eax, 2E400 <---- (189,440 字节)未脱壳文件的大小
0063E9AF .0F95C2 setne dl
0063E9B2 .33D2 neg edx <---------改成 xor edx, edx
eax 是脱壳后文件的大小
刚看完澳大利亚与日本的比赛。
在另一电脑上这样改后,有错误提示“你修改了……”
将上面修改的文件保存为zxy1.exe
再在zxy1.exe的文件里
0063F92D .83C4 0C add esp, 0C
0063F930 .0FBF95 50FEFF>movsx edx, word ptr
0063F937 .85D2 test edx, edx
0063F939 0F84 C1000000 je 0063FA00 <------改成 jne
保存为zxy2
运行zxy2应该OK,如有错误提示“你修改了……”,改运行zxy1.exe就OK。
是什么原因,有时间再看看,能不能看出来。
马上下面的比赛要开始了。
2006/6/13 00:00 盖尔森基兴傲赴沙尔克体育场 美国-捷克 E组
页:
[1]