VB程序自检验去除请教！

野猫III

BTW：偶尔到网络上下载了个王子网页突破 V1.0的脱壳和去自检验动画。
           没想到对它新版本的软件学习的时候，搞不来。。。;P ;P

软件名称：王子网页转换小精灵 V1.2.6
下载地址：http://www.skycn.com/soft/14929.html
                    http://fs165.driversky.com/down/PrinceSetup.exe
软件大小：  1656 KB
软件语言：  简体中文
软件类别：  国产软件 / 免费版 / 网页辅助
应用平台：  Win9x/NT/2000/XP
更新时间：  2006-04-16 15:08:51
下载次数：  13705
推荐等级：  3
软件介绍：
你喜欢制作chm电子书吗？想把文件批量转换为网页格式吗?想要一个漂亮的电子相册吗?...
    主要功能:网页制作,网页批量转换,电子书制作,文件分割合并,文件加密解密,分述如下:
1、文本文件 批量转换为 网页文件 (txt 等转换为 htm)
2、网页文件 批量转换为 文本文件 (htm 等转换为 txt)
3、WORD、EXCEL、POWERPOINT 文档 批量转换为 网页文件(doc xls ppt 等转换为 htm)
4、图片文件、FLASH、mp3 ,wmv文件 批量转换为 网页 (jpg gif swf mp3 wmv等--> htm)
5、支持 WORD(doc 文件) 一步生成电子书 （梦寐以求的 功能吧？呵呵。。。）
6、可以作为一个 文本文件的 电子书制作工具软件。（并可选择 网页模板或者CSS）
7、支持 图片文件一步 编译 为电子相册。（并可选择 电子相册模板 或者 CSS）
8、支持 mht 文件 一步生成电子书
9、网页取色功能。可以抓取屏幕上任何可见部分的颜色代码；目前 可抓取 三种格式的颜色
10、网页批量压缩功能。可以选择性的或批量压缩网页文件
11、批量加密文件，也可以解密文件。
12、批量分割文件，还可以合并文件。
13、文档合并功能。支持 多种文件格式合并为 HTML TXT RTF DOC 四种格式之一
14、支持 HTML 网页文件 一步 生成电子书。
15、网页特效收集管理功能。并且可以方便的批量插入到网页中
16、反编译 CHM 电子书。
17、网上搜索功能。与强大的中文搜索引擎---百度搜索整合
18、已经提供了 数个 CSS 和模板，注册后提供更多模板。你也可自行编写。使转换更随意
19、对 html 文件生成电子书 提供了两种选择
20、支持 ppt (powerpoint)文件一步生成电子书
21、支持 xls (excel)文件一步生成电子书
22、文本及网页文字 的批量替换
23、你除了可以转换上述列出的文件类型外，你也可以自己增加转换类型
＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋

过程：

一、用PEiD查得：NsPack V1.4 -> LiuXingPing *壳。

二、OD忽略所有异常，载入程序后停在这里：
0065E964 >  9C              PUSHFD
0065E965    60              PUSHAD
0065E966    E8 00000000     CALL prince.0065E96B   //单步到这，下命令断点，hr esp

F9运行程序：
0065EB88    9D              POPFD
0065EB89  - E9 5E61DAFF     JMP prince.00404CEC  //单步到程序OEP:4CEC.
+++++++++++++
Dump下来后查壳：Microsoft Visual Basic 5.0 / 6.0

之前1.0版本的自校验可以通过命令断点bp __vbaEnd,但这个不知道怎么搞啦。。。希望大鸟不啬赐教。

[ 本帖最后由 野猫III 于 2006-6-12 07:28 编辑 ]

风球

BP rtcFileLen (文件大小比较)  和   BP rtcMsgBox (提示信息框)

下这两个断点应该可以去校验和暴破了```

wzwgp

0063E9A2   .  FF15 B8124000 call    [<&MSVBVM60.rtcFileLen>]         ;  MSVBVM60.rtcFileLen
0063E9A8   .  33D2          xor     edx, edx
0063E9AA   .  3D 00E40200   cmp     eax, 2E400
0063E9AF   .  0F95C2        setne   dl
0063E9B2   .  33D2          neg     edx      <---------改成　　　xor   edx, edx                       

OK  自效验去除

[ 本帖最后由 wzwgp 于 2006-6-12 15:49 编辑 ]

野猫III

原帖由 wzwgp 于 2006-6-12 14:17 发表
0063E9A2   .  FF15 B8124000 call             ;  MSVBVM60.rtcFileLen
0063E9A8   .  33D2          xor     edx, edx
0063E9AA   .  3D 00E40200   cmp     eax, 2E400
0063E9AF   .  0F95C2        setne  ...

呵呵...说说原因嘛,为什么要这么改?

wzwgp

bp FindFirstFileA

7C813559 >  8BFF            mov     edi, edi　　　　　　　　　　　　 ;  断下
7C81355B    55              push    ebp
7C81355C    8BEC            mov     ebp, esp
7C81355E    81EC 6C020000   sub     esp, 26C
7C813564    A1 CC36887C     mov     eax, [7C8836CC]

取消断点　　Alt+F9

0063E9A2   .  FF15 B8124000 call    [<&MSVBVM60.rtcFileLen>]         ;  MSVBVM60.rtcFileLen
0063E9A8   .  33D2          xor     edx, edx                         ;  返回到此
0063E9AA   .  3D 00E40200   cmp     eax, 2E400    <---- (189,440 字节)未脱壳文件的大小
0063E9AF   .  0F95C2        setne   dl
0063E9B2   .  33D2          neg     edx      <---------改成　　　xor   edx, edx  

eax　是脱壳后文件的大小

刚看完澳大利亚与日本的比赛。

在另一电脑上这样改后，有错误提示“你修改了……”
将上面修改的文件保存为zxy1.exe
再在zxy1.exe的文件里
0063F92D   .  83C4 0C       add     esp, 0C
0063F930   .  0FBF95 50FEFF>movsx   edx, word ptr [ebp-1B0]
0063F937   .  85D2          test    edx, edx
0063F939      0F84 C1000000 je      0063FA00    　　　<------改成　　jne
保存为zxy2
运行zxy2应该OK,如有错误提示“你修改了……”，改运行zxy1.exe就OK。
是什么原因，有时间再看看，能不能看出来。

马上下面的比赛要开始了。
2006/6/13        00:00        盖尔森基兴傲赴沙尔克体育场        美国-捷克                E组