本帖最后由 fenginsc 于 2015-1-30 17:47 编辑
注意:此教程只是写给新手看的,大牛无视吧。我也是第一次写教程,写的不好,还请大家轻喷。
======================================================
我相信现在越来越多的软件为了防止破解 什么加花加壳都烂大街了。越来越多的软件开始加上暗桩。这也是新手们破解的头疼之处。
很多新手破解完程序后有暗桩就不知所措了。今天我们就来学习怎么清除暗桩。
如图,这就是我们今天的主角。该程序含有一个弹出窗口的暗桩(暗桩典型1:疯狂弹出窗口)
作为研究对象我只让该暗桩弹出一次窗口
废话不多说,直接用OD打开。
载入程序后直接右键扫描ASCII字符串(为什么?弹出的窗口是一个网页,所以程序内应该有相关字符串)
向上翻我们看到了关键字“恭喜你:暗桩没有触发”等相关字样
双击进入,下面分析解释一下这段代码,看图说明了为什么00401024,是关键CALL
[Asm] 纯文本查看 复制代码 00401004 55 push ebp
00401005 8BEC mov ebp,esp
00401007 6A 00 push 0x0
00401009 68 106B4600 push 第一课.00466B10 ; 恭喜你:暗桩没有触发
0040100E 6A FF push -0x1
00401010 6A 08 push 0x8
00401012 68 04000116 push 0x16010004
00401017 68 01000152 push 0x52010001
0040101C E8 A0000000 call 第一课.004010C1 ; 置标签标题CALL
00401021 83C4 18 add esp,0x18
00401024 E8 04000000 call 第一课.0040102D ; 暗桩关键CALL
00401029 8BE5 mov esp,ebp
0040102B 5D pop ebp
0040102C C3 retn
0040102D 55 push ebp
0040102E 8BEC mov ebp,esp
00401030 68 04000080 push 0x80000004
00401035 6A 00 push 0x0
00401037 68 256B4600 push 第一课.00466B25 ; [url=http://www.52pojie.cn]www.52pojie.cn[/url]
0040103C 68 01000000 push 0x1
00401041 B8 01000000 mov eax,0x1
00401046 BB 10584400 mov ebx,第一课.00445810
0040104B E8 77000000 call 第一课.004010C7 ; 弹窗CALL
00401050 83C4 10 add esp,0x10
00401053 6A 00 push 0x0
00401055 68 346B4600 push 第一课.00466B34 ; 失败了!暗桩已经触发
0040105A 6A FF push -0x1
0040105C 6A 08 push 0x8
0040105E 68 04000116 push 0x16010004
00401063 68 01000152 push 0x52010001
00401068 E8 54000000 call 第一课.004010C1 ; 置标签标题CALL
0040106D 83C4 18 add esp,0x18
00401070 8BE5 mov esp,ebp
00401072 5D pop ebp
00401073 C3 retn
可能有朋友要问了:0040104B才是真正的弹窗CALL,为什么说00401024才是暗桩关键CALL呢?
因为00401024这个CALL里面包含了0040104B这个弹窗CALL,如果你只对0040104B这个弹窗CALL做出处理,程序还是依然会提示暗桩已经触发。
好了 既然关键CALL找到了,直接NOP就可以了
[Asm] 纯文本查看 复制代码 00401004 55 push ebp
00401005 8BEC mov ebp,esp
00401007 6A 00 push 0x0
00401009 68 106B4600 push 第一课.00466B10 ; 恭喜你:暗桩没有触发
0040100E 6A FF push -0x1
00401010 6A 08 push 0x8
00401012 68 04000116 push 0x16010004
00401017 68 01000152 push 0x52010001
0040101C E8 A0000000 call 第一课.004010C1 ; 置标签标题CALL
00401021 83C4 18 add esp,0x18
00401024 90 nop ; 暗桩关键CALL
00401025 90 nop
00401026 90 nop
00401027 90 nop
00401028 90 nop
00401029 8BE5 mov esp,ebp
0040102B 5D pop ebp
0040102C C3 retn
0040102D 55 push ebp
0040102E 8BEC mov ebp,esp
00401030 68 04000080 push 0x80000004
00401035 6A 00 push 0x0
00401037 68 256B4600 push 第一课.00466B25 ; [url=http://www.52pojie.cn]www.52pojie.cn[/url]
0040103C 68 01000000 push 0x1
00401041 B8 01000000 mov eax,0x1
00401046 BB 10584400 mov ebx,第一课.00445810
0040104B E8 77000000 call 第一课.004010C7 ; 弹窗CALL
00401050 83C4 10 add esp,0x10
00401053 6A 00 push 0x0
00401055 68 346B4600 push 第一课.00466B34 ; 失败了!暗桩已经触发
0040105A 6A FF push -0x1
0040105C 6A 08 push 0x8
0040105E 68 04000116 push 0x16010004
00401063 68 01000152 push 0x52010001
00401068 E8 54000000 call 第一课.004010C1 ; 置标签标题CALL
0040106D 83C4 18 add esp,0x18
00401070 8BE5 mov esp,ebp
00401072 5D pop ebp
00401073 C3 retn
至此该暗桩已经完美清除,下面是课件,大家可以练练手。大牛请无视吧
===========================================================
如何清除暗桩第一课(AZ01)【弹窗暗桩】:http://www.52pojie.cn/thread-316180-1-1.html
如何清除暗桩第二课(AZ02)【再探弹窗暗桩】:http://www.52pojie.cn/thread-323346-1-1.html
| 
[复制链接]
发表于 2014-12-29 18:20
发表于 2014-12-29 18:37
