工具:ExeinfoPe_V0044prev3;OD;补丁工具Baymax Patch Tools v2.7
说明:这个程序来源于网络(https://www.55188.com/space-uid-1080040.html),软件作者的加密还是有特色的,只是有兴趣,并无盗版之意。 这段时间正在研究云加密,所以我陆陆续续会贴出一些我以前写的文章跟大家探讨和交流。这个软件还不是云加密,程序的功能都在本体不在服务器上,所以难度比云加密低一档;云加密是程序的一部分或者全部功能在服务器上,使用时再下载注入内存中,程序结束不保留。 软件类型:dll
要达到目的:变单机用户为多机用户
功能限制: 正常运行 再开一台机 下面来解决上面的问题。 先查壳: 强壳:VMProtect v.2.07 - X.X 2003-2013 VMProtect Software - www.vmpsoft.com 下断: 开OD,加载TDX.exe,登陆运行正常,出现联网验证,点击注册: 内存映射中找下一个代码段到: Memory map, 条目 608 地址=1C708000 大小=00647000 (6582272.) 属主=JTJ 1C400000 区段=.text 包含=代码 类型=Imag 01001002 访问=R 初始访问=RWE 在cpu中查看: 搜索字符,很多字符,从中找对 破解可能有用的字符,找到: 都给她下F2断点。 重新加载,点击注册,断在: 1C89F57B BF F8E1F51C mov edi,JTJ.1CF5E1F8 ; ASCII "%d年%d月%d日" 注意:断的地址和前面下断的地址不同是由于重定位造成,下面同理。 看一下调用: 在第一个调用下F2断点: 1C8C4983 E8 A288F9FF call JTJ.1C85D22A 重新加载,点击注册,断在: 1D5C4983 E8 A288F9FF call JTJ.1D55D22A 下我们来分析一下这个call: 发现长跳我都记下来: 1E46546C /0F84 80000000 je JTJ.1E4654F2 ; 1E4654F6 /0F84 5B000000 je JTJ.1E465557 ; 1E465654 /0F84 6D000000 je JTJ.1E4656C7 ; 1E4665DA /0F84 96000000 je JTJ.1E466676 ;//jump 1E466764 /0F84 87060000 je JTJ.1E466DF1 ;//no jump 1E4675F0 /E9 EE060000 jmp JTJ.1E467CE3 1E467676 /E9 68060000 jmp JTJ.1E467CE3 1E46D4A7 /75 69 jnz short JTJ.1E46D512 1E46D4C3 /0F85 67020000 jnz JTJ.1E46D730 1E46D4E3 /0F85 47020000 jnz JTJ.1E46D730 1E46D517 /0F87 F1000000 ja JTJ.1E46D60E 1E46D51D /0F84 C6000000 je JTJ.1E46D5E9 1E46D52B /0F87 FF010000 ja JTJ.1E46D730 1E46D643 /E9 A5000000 jmp JTJ.1E46D6ED 然后一一分析上面的代码,在比较时,我们发现: 1E4665DA /0F84 96000000 je JTJ.1E466676 ;//jump 1E466764 /0F84 87060000 je JTJ.1E466DF1 ;//no jump 这两个跳转在第一台电脑和第二台电脑使用时会出现不同,下面来验证一下: 第一台使用: 再开第二台电脑: 第二台和第一台同时可用了,但到期日期不一样。 最后就是打补丁了,用过本论坛Baymax Patch Tools 系列的都知道,Baymax Patch Tools 目前来讲对这些强壳,简直就是神器,所以补丁我就不都讲了,看Baymax Patch Tools的使用介绍吧。软件提不提供,我是有些担忧的,为什么?被别人黑过。
|