QQ病毒专杀工具XP QQKav Build 20050223 2005元宵版

灵儿

QQ病毒专杀工具XP QQKav Build 20050223 2005元宵版

下载：http://www2.skycn.com/soft/14305.html


peid查显示yoda's cryptor 1.x / modified,od载入后隐藏，执行脱壳脚本，来到第2层壳入口

OD脱出来查查，是PEBundle 0.2 - 3.x -> Jeremy Collake

这个用esp定律一下来到程序入口，LordPE纠正文件大小后完全脱壳，再用ImportRec修复，OK了

壳脱了，现在来看看注册按钮的入口地址，可惜用dede分析后，东西太多，不好找

我直接用ResScope打开，查看RCData资源，查找"注册认证"

         object QQKAV6: TsuiButton
            Left = 120
            Top = 75
            Width = 73
            Height = 22
            Hint = '输入正确注册码后点此认证'
            UIStyle = WinXP
            Font.Charset = GB2312_CHARSET
            Font.Color = clWindowText
            Font.Height = -12
            Font.Name = '宋体'
            Font.Style = []
            ShowHint = True
            Caption = '注册认证'
            AutoSize = False
            ParentShowHint = False
            ParentFont = False
            TabStop = True
            TabOrder = 0
            Transparent = False
            ModalResult = 0
            Layout = blGlyphLeft
            Spacing = 4
            ResHandle = 0
            MouseContinuouslyDownInterval = 100
            OnClick = QQKAV6Click           //好东西
          end


004CC92C  /. 55             PUSH EBP     //找到入口就好办了，GoGoGo!!
004CC92D  |. 8BEC           MOV EBP,ESP
004CC92F  |. B9 05000000    MOV ECX,5


004CC957  |. E8 5853F7FF    CALL 123.00441CB4
004CC95C  |. 837D FC 00     CMP DWORD PTR SS:[EBP-4],0    //比较是否输入了用户名
004CC960  |. 0F84 9C010000  JE 123.004CCB02

当然这里是不会跳的，除非你的计算机没有名字 ^_^

004CC974  |. 8B45 F8        MOV EAX,DWORD PTR SS:[EBP-8]   //看到假码前部分
004CC977  |. 50             PUSH EAX
004CC978  |. 8D45 F4        LEA EAX,DWORD PTR SS:[EBP-C]
004CC97B  |. 50             PUSH EAX                                 ; /Arg1
004CC97C  |. 8B83 E4030000  MOV EAX,DWORD PTR DS:[EBX+3E4]           ; |
004CC982  |. 8B80 80000000  MOV EAX,DWORD PTR DS:[EAX+80]            ; |
004CC988  |. 33C9           XOR ECX,ECX                              ; |
004CC98A  |. 66:BA 2205     MOV DX,522                               ; |
004CC98E  |. E8 4DC6FFFF    CALL 123.004C8FE0                        ; \123.004C8FE0
004CC993  |. 8B55 F4        MOV EDX,DWORD PTR SS:[EBP-C]   //这里，出现真码前部分
004CC996  |. 58             POP EAX
004CC997  |. E8 D481F3FF    CALL 123.00404B70          //这里就是前部分的比较了
004CC99C  |. 0F85 60010000  JNZ 123.004CCB02           //跳走了就死翘翘

改Z标志继续走吧,可以看到后面和上面代码是一样的

004CC9B0  |. 8B45 F0        MOV EAX,DWORD PTR SS:[EBP-10]
004CC9B3  |. 50             PUSH EAX
004CC9B4  |. 8D45 EC        LEA EAX,DWORD PTR SS:[EBP-14]
004CC9B7  |. 50             PUSH EAX                                 ; /Arg1
004CC9B8  |. 8B83 EC030000  MOV EAX,DWORD PTR DS:[EBX+3EC]           ; |
004CC9BE  |. 8B80 80000000  MOV EAX,DWORD PTR DS:[EAX+80]            ; |
004CC9C4  |. 33C9           XOR ECX,ECX                              ; |
004CC9C6  |. 66:BA 2205     MOV DX,522                               ; |
004CC9CA  |. E8 11C6FFFF    CALL 123.004C8FE0                        ; \123.004C8FE0
004CC9CF  |. 8B55 EC        MOV EDX,DWORD PTR SS:[EBP-14]   //真码的后部分了
004CC9D2  |. 58             POP EAX
004CC9D3  |. E8 9881F3FF    CALL 123.00404B70
004CC9D8  |. 0F85 24010000  JNZ 123.004CCB02

我用keymake做注册机时发现软件会关闭注册机,keymake上了黑名单

可以找到效验点，做个内存补丁，或者自己写一个内存注册机，再不然看看算法。。。。

最后看看软件还anti什么,还有作者送给crack的元宵节礼物！呵呵








THE END

[ 本帖最后由 tigerisme 于 2006-8-26 20:49 编辑 ]

飘云

支持原创的说！
ESP定律真是强啊 ！！

蓝色心情

这篇贴子在流行时代由  aqtata   2005-2-24 12:28:00发布 不知 灵儿是马甲还是
抄袭的 ，两个人的破解过程总该有一些差别的，但我看见的一模一样。作何解释？
可要知道龙族的KuNgBiM就是因为抄袭别人的成果被取消龙族成员资格，这个事飘云是知道的。

飘云

灵儿就是aqtata

蓝色心情

哈哈 原来如此

dryzh

怪不得,我说小AQ怎么消失了!

zsl01

值得我等菜鸟学习！

Aeddy

楼上的，对你无语了。顶贴玩？