【吾爱动画大赛2019参赛作品】 某内存SPD读取和烧录软件的脱壳和解除限制之过程讲解

solly

1、简介
  本视频作品是为了参加“吾爱破解动画大赛2019”而录制的，也是本人第一次录制这类作品，因此中间会有一些语焉不详的情况，也会有口吃的现象，请各位见谅。
  本次讲解视频是对某个可进行内存SPD参数读取和烧录的工具软件进行脱壳和解除免费版限制的过程进行讲解。这款工具软件为 Thaiphoon Burner，试验的是目前最新版（16.0.0.8 Build 0818），本论坛有最新版的下载方式（请用论坛搜索功能）。
  另外，请将该软件先以“管理员身份运行”一次并关闭后，再进行其它操作，同时第一次运行时先关闭各类调试软件、反编译软件等。

2、目录
  本目录不是文件目录，本人只录屏了一个文件，该目录只是把视频分成几个主要讲解阶段。
   （1）软件版本简介
   （2）ExeInfoPE 查壳
   （3）OD脱壳，利用SEH反调试讲解
   （4）利用PEB参数反调试讲解
   （5）IAT 手动修复讲解
   （6）ExeInfoPE 查编译器
   （7）DeDeDark反编译，查事件、函数等
   （8）解决其重启系统的暗桩
   （9）解除其免费版对烧录的限制
   （10）修改 Exe 文件，大功告成！
   （11）烧录验证，结束！！


3、作品连接
   百-度-网-盘： https://pan.baidu.com/s/1A-ikRRlFBGctHY_bOGn_cg (音视频有不同步问题，请勿下载，已下载的请重新下载)
   提-取-码：      2z6j

    修复音频视频不同步问题，请下载新版：

   百-度-网-盘： https://pan.baidu.com/s/1BoCX-gM7iL67OPn9pkFnvQ

   提-取-码：      7xap

   解-压-密-码： www.52pojie.cn

4、软件界面


原始界面

完成后界面：



5、其它说明
   （1）软件启动时，会弹出一个对话框：

表示 BIOS 对写入有写保护，我在视频中讲到的 WriteButton 事件中那个跳转退出烧录的破解，可能正是对这个写保护的检查判断，所以最后那一条修改指令可能不需要，而是要去设置 BIOS 中的参数解除写保护。


   （2）NAG，软件启动会有一个注册的 NAG，其界面上有一个 checkbox ，选中后就不会显示，因此无需在代码级破除。


6、后记
    录制的视频时间较长，对能够看完的各位表示感谢！！！
    录屏软件不太好，声音与图像有点不同步，请见谅！！！(2019/09/12：更新了连接，修复了不同步问题)

7、勘误
    在手动修复IAT时，下条件断点录入条件时，表达式输入有误，将 "==" 错误地输入成 "=" 了，变成给 ESI 赋值了，所以变成了常量的説法是不正确的。后来也没有用条件断点了，因此请忽略下条件断点到删除条件断点这一段。

dsanke

照葫芦画瓢改了16版，把校验版本这部分基本全部NOP掉了，XMP修改功能能正常用了。

[Asm] 纯文本查看 复制代码

0051015C  |.  8D95 B8FEFFFF lea     edx, dword ptr [ebp-148]
00510162  |.  B8 8C025100   mov     eax, 0051028C                    ;  ASCII "dip,cvcFegP"
00510167  |.  E8 38010000   call    005102A4
0051016C  |.  8B8D B8FEFFFF mov     ecx, dword ptr [ebp-148]
00510172  |.  8B15 80525D00 mov     edx, dword ptr [5D5280]          ;  Thaiphoo.005D8750
00510178  |.  8B12          mov     edx, dword ptr [edx]
0051017A  |.  8D85 BCFEFFFF lea     eax, dword ptr [ebp-144]
00510180  |.  E8 EF49EFFF   call    00404B74
00510185  |.  8B8D BCFEFFFF mov     ecx, dword ptr [ebp-144]
0051018B  |.  B2 01         mov     dl, 1 ;这句保留
0051018D  |.  A1 F8A24100   mov     eax, dword ptr [41A2F8]
00510192  |.  E8 6DF6F0FF   call    0041F804
00510197  |.  8BF0          mov     esi, eax
00510199  |.  8BC6          mov     eax, esi
0051019B  |.  E8 88F1F0FF   call    0041F328
005101A0  |.  83FA 00       cmp     edx, 0
005101A3  |.  75 20         jnz     short 005101C5
005101A5  |.  3D 3C010000   cmp     eax, 13C
005101AA  |.  75 19         jnz     short 005101C5
005101AC  |.  8D95 C0FEFFFF lea     edx, dword ptr [ebp-140]
005101B2  |.  B9 3C010000   mov     ecx, 13C
005101B7  |.  8BC6          mov     eax, esi
005101B9  |.  E8 62F3F0FF   call    0041F520
005101BE  |.  8BC6          mov     eax, esi
005101C0  |.  E8 DB37EFFF   call    004039A0
005101C5  |>  8D85 25FFFFFF lea     eax, dword ptr [ebp-DB]
005101CB  |.  BA 98025100   mov     edx, 00510298                    ;  ASCII 04,"THRK"
005101D0  |.  33C9          xor     ecx, ecx
005101D2  |.  8A08          mov     cl, byte ptr [eax]
005101D4  |.  41            inc     ecx
005101D5  |.  E8 DA2FEFFF   call    004031B4
005101DA  |.  75 7B         jnz     short 00510257
005101DC  |.  BA A0025100   mov     edx, 005102A0
005101E1  |.  8D85 4CFEFFFF lea     eax, dword ptr [ebp-1B4]
005101E7  |.  E8 1C2FEFFF   call    00403108
005101EC  |.  8D85 E4FDFFFF lea     eax, dword ptr [ebp-21C]
005101F2  |.  50            push    eax
005101F3  |.  B9 08000000   mov     ecx, 8
005101F8  |.  BA 11000000   mov     edx, 11
005101FD  |.  8D45 8F       lea     eax, dword ptr [ebp-71]
00510200  |.  E8 5F27EFFF   call    00402964
00510205  |.  8D95 E4FDFFFF lea     edx, dword ptr [ebp-21C]
0051020B  |.  8D85 4CFEFFFF lea     eax, dword ptr [ebp-1B4]
00510211  |.  B1 65         mov     cl, 65
00510213  |.  E8 C02EEFFF   call    004030D8
00510218  |.  8D95 4CFEFFFF lea     edx, dword ptr [ebp-1B4]
0051021E  |.  8D85 B4FEFFFF lea     eax, dword ptr [ebp-14C]
00510224  |.  E8 A348EFFF   call    00404ACC
00510229  |.  8B85 B4FEFFFF mov     eax, dword ptr [ebp-14C]
0051022F  |.  E8 3C95EFFF   call    00409770
00510234  |.  35 45812700   xor     eax, 278145
00510239  |.  3D 0AA0E711   cmp     eax, 11E7A00A
0051023E  |.  74 0B         je      short 0051024B
00510240  |.  3D 8D78E811   cmp     eax, 11E8788D
00510245  |.  74 04         je      short 0051024B
00510247  |.  33DB          xor     ebx, ebx
00510249  |.  EB 02         jmp     short 0051024D
0051024B  |>  B3 01         mov     bl, 1 ;这句保留
0051024D  |>  3D 969DE811   cmp     eax, 11E89D96
00510252  |.  75 03         jnz     short 00510257
00510254  |.  8A5D FF       mov     bl, byte ptr [ebp-1]

solly

dsanke 发表于 2019-9-15 00:49
拜谢楼主，在使用中发现软件的2个功能仍旧不可用：
1.写入功能不可用，走了进度但实际写入失败；
2.XMP E ...

1、可能破解还不完整，我也不用这软件，看了有进度，但没有具体测试，毕竞这个是免费版，限制较多。软件启动时没有读取注册文件 regdata.rkf 的代码。你发的附件是15版，这个版我也弄了，其有读取注册文件的代码，并且是可用注册机激活，参考我的这个贴子：

https://www.52pojie.cn/thread-1023105-1-1.html

bigharvest

厉害了 支持下

KevinStark

支持支持，加油

ycyanwen

很厉害，能破解的都是高手

byh3025

支持下，52因你而精彩

kuraih

支持支持，~

keyyan

为大佬点个赞

ibrucekong

大片上映，搬板凳啊

Deschanel

感谢分享，谢谢大佬

reb0rn

多谢楼主啊