去除屏幕录像专家录制的exe的多开校验(高手飘过)

wuhanqi

【文章标题】: 去除屏幕录像专家录制的exe的多开校验(高手飘过)
【文章作者】: wuhanqi
【作者邮箱】: [email protected]
【软件名称】: 天草的教程
【下载地址】: 自己搜索下载
【作者声明】: 小菜一个.高手别笑话我哦~嘿嘿.
--------------------------------------------------------------------------------
【详细过程】
今天闲来没事.没事加了个ACprotect壳子想练练手.谁知道.........不会脱= =.忘记了.汗.壳盲啊...
于是乎又打开天草老大的教程看...额,反正阴差阳错忘记关原来的进程又打开新的录像了...
谁知道...弹出这么一个框...

然后就告诉你读取声音失败咯..然后教程就没声音了...
把我吓了一大跳.还以为活见鬼了.好好的教程怎么就没声音了?
后来检查了一下才发现...原来是自己多开了= =...应该是为了防止翻录吧...才会设置这样一个校验...
看着挺不爽的.就想试试去除这个校验...
教程我拿到的没壳...od载入程序..
由于有failed2的提示.直接搜索字符串"failed2"
来到如下代码:

1. 00408105 |. E8 82B10500 CALL 0046328C
   
2. 0040810A |. C645 81 00 MOV BYTE PTR SS:[EBP-7F],0
   
3. 0040810E |. 66:C785 7EFFF>MOV WORD PTR SS:[EBP-82],0
   
4. 00408117 |. 68 78354800 PUSH 00483578 ; ASCII "wb"
   
5. 0040811C |. FF75 0C PUSH DWORD PTR SS:[EBP+C]
   
6. 0040811F |. E8 18CC0500 CALL 00464D3C
   
7. 00408124 |. 83C4 08 ADD ESP,8
   
8. 00408127 8985 74FFFFFF MOV DWORD PTR SS:[EBP-8C],EAX
   
9. 0040812D |. 85C0 TEST EAX,EAX
   
10. 0040812F |. 75 3F JNZ SHORT 00408170 <<<---有跳转哦~
    
11. 00408131 |. 66:C745 94 08>MOV WORD PTR SS:[EBP-6C],8
    
12. 00408137 |. BA 7B354800 MOV EDX,0048357B ; ASCII "failed2"
    
13. 0040813C |. 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4]
    
14. 0040813F |. E8 74610600 CALL 0046E2B8
    
15. 00408144 |. FF45 A0 INC DWORD PTR SS:[EBP-60]
    
16. 00408147 |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
    
17. 00408149 |. E8 36D10200 CALL 00435284
    
18. 0040814E |. FF4D A0 DEC DWORD PTR SS:[EBP-60]
    
19. 00408151 |. 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4]
    
20. 00408154 |. BA 02000000 MOV EDX,2
    
21. 00408159 |. E8 12620600 CALL 0046E370
    
22. 0040815E |. 83C8 FF OR EAX,FFFFFFFF
    
23. 00408161 |. 8B55 84 MOV EDX,DWORD PTR SS:[EBP-7C]
    
24. 00408164 |. 64:8915 00000>MOV DWORD PTR FS:[0],EDX
    
25. 0040816B |. E9 61090000 JMP 00408AD1
    
26. 00408170 |> 837D 14 01 CMP DWORD PTR SS:[EBP+14],1
    
27. 00408174 |. 0F85 9C020000 JNZ 00408416
    
28. 0040817A |. FF75 10 PUSH DWORD PTR SS:[EBP+10]

复制代码

不少人肯定会想...这还不简单...明显有个跳转能跳过去嘛!75→eb不就得了...
事实可没那么简单...修改了还是会有错的...我们注意一下下面的代码:

1. 0040811F |. E8 18CC0500 CALL 00464D3C ; 3.这个call出来后EAX值变化咯.
   
2. 00408124 |. 83C4 08 ADD ESP,8
   
3. 00408127 8985 74FFFFFF MOV DWORD PTR SS:[EBP-8C],EAX ; 2.这里有个把EAX赋值到一个地址的.
   
4. 0040812D |. 85C0 TEST EAX,EAX ; 1.比较EAX...
   
5. 0040812F |. 75 3F JNZ SHORT 00408170

复制代码

看起来EAX的值是关键了...于是乎先单独F9运行程序.看看寄存器的值:

1. 
   
2. EAX 00488280 ASCII "??
   
3. ECX 0048D19C 录像19.0048D19C
   
4. EDX 0048D19C 录像19.0048D19C
   
5. EBX 00A722C4
   
6. ESP 0012ACD4
   
7. EBP 0012F48C
   
8. ESI 0012FD2C
   
9. EDI 00000000

复制代码

第二次先运行一个教程,再用od载入..到同样的位置查看一下寄存器的值:

1. EAX 00000000
   
2. ECX 0048D19C 录像19.0048D19C
   
3. EDX 0048D19C 录像19.0048D19C
   
4. EBX 00A722C4
   
5. ESP 0012ACD4
   
6. EBP 0012F48C
   
7. ESI 0012FD2C
   
8. EDI 00000000
   

复制代码

很明显吧.EAX的值如果是 00488280的话.程序就可以正常运行了..
那还不简单?找块空地.
修改 00408127 8985 74FFFFFF MOV DWORD PTR SS:[EBP-8C],EAX 为jmp 00482940

在00482940 处写:

1. 00482940 > \B8 80824800 MOV EAX,00488280 ; 给 eax赋值.
   
2. 00482945 . 8985 74FFFFFF MOV DWORD PTR SS:[EBP-8C],EAX ; 还原代码
   
3. 0048294B .^ E9 DD57F8FF JMP 0040812D ; 跳回去..

复制代码

这样的话.程序就可以正常多开了.想开多少个开多少个.哈哈~



--------------------------------------------------------------------------------
【经验总结】
个人感觉去除校验就是来回比较修改前后两个程序.不只只比较跳转之类的.还要比较寄存器关键的值.例如我最近玩的友益文书...就是这样的.
呵呵.算是多一种思路吧.小菜一个.多多指教了.:loveliness:

--------------------------------------------------------------------------------
【版权声明】: 还不是踩在巨人的肩膀上说话?哪里来的版权.随便怎么样.哈哈~
2009年06月30日 15:06:45

柯梦南

你好牛的啊，脑子多想就可能有思路的

kill203

不错，学习了

zgmap

好思路，学习！

qifeon

很好的思路，学习下。

my1229

多谢楼主，学习你的方法。

zhaoyafei19

方法很独特
知道的学习

daihu37

学习下，好家伙

lacoucou

我还以为是程序独占声音设备呢！原来是自校验

挂挂

学习一下！！！！/:013