吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 10866|回复: 115
收起左侧

[原创] 新人尝试某CF刀距辅助带壳破解(大佬勿喷)

  [复制链接]
我没有id 发表于 2021-4-17 05:16
UPX壳子
Z]{N}~W~T5WBHG{Z%{LWRMJ.png

PEID查壳 拖进od运行 点登陆有卡米错误的弹窗
()4V[IG4BH%7MV`L@[0C}36.png

S~@I1`PIFBRT6ZTIX2RK2.png

下api断点,
8M~BX~_2NP$Y81~(Z5`D.png

再点登陆却没有断下来按暂停辅助也没反应,
AE~$I`P]4SXAT_$I(R~[G.png

应该刚刚打开的是登陆器,登陆器再打开辅助。
1UU_%4{FNJ5H]E06~HFNKWL.png

上面的推测正确 附加上发现可以暂停辅助了 按照这个路径找到辅助的源文件
{NSE5CR]JXPKGVHCX6)3DD0.png

看不懂是什么壳子 直接拖od带壳子破吧
6@0$Z}910B1Q2HZ7NWANPM0.png

和刚刚一样下断点。   断下来了
2{$`Z{{U1849%KWQYGY_Y%0.png

这是系统领空 直接f8往下走 提示卡米错误
`2T65]4R6F1[KP{$){YG447.png

继续往下走 要先回到程序领空
{F]$$C}}1BA6YOAE$P{R6U1.png

回到程序领空发现都是乱码 看不懂 这是因为带壳子原因
CF28899EFE41BAEDCD65948C9246D03B.jpg

右健分析,从模块中删除分析 恢复正常了
2}]HG7ZH]%Z1[]V52]3%4W2.png

但不知道刚刚从哪里出来了


再登陆一次 先f9跑起来 再登陆 停到刚刚那里
PA@2)7[M{0YWGSJKA_2]A57.png

发现这里有个返回到 右健反汇编窗口中跟随 回到这里
P(K$Z0L[Y}6A7RCI5}R}T_B.png

f2 下断点 再把之前的断点删掉 不删的话后面调试会一直断 再登陆一次程序 断下来了
NA)BQK67$F%9[UFGA33$T`X.png

f8走下来发现走到这个call出现了密码错误
V_47Q5G1RY)K729]VJE95@9.png

说明个call是弹出错误的call 应该跳过才能登陆 现在找跳转(不用往下找了,因为带壳的软件不显示由哪里跳转) 往上看 发现
}O)77)25XH_`XY_IZL[63YN.png

上面有个jmp 跳过了这个错误call (这个错误call是我加的备注) 带壳的软件一般是不显字符串的 为了方便记我会自己加备注 f2在jmp上下个断点 登陆一下 发现没有断下来 说明 上面一定有个跳转跳过了这个jmp 往上找找看 发现一个大跳
FL0BC(JQKO$V2YEN8]((%QE.png

跳到了这个jmp下面
E}W7NQGZ6HQFURPI)0A6}5T.png

往下直接走到了错误call 那么我们把这个大跳nop掉
Q)1QH$E)D1Z1(O@D1A41R_C.png

并且f2 下一个断点 登陆辅助 断在了刚刚我们下的断点 继续往下走
FFMX44[1%[7Q6YPJJ3R_V$J.png

发现跳下来走到这里就提示错误了
$S}_E5QXDBN$SAOQ}UQ[`}N.png
上面有个jmp能跳过这个错误 于是我们回到刚刚那里 把这个也nop掉 下个断点 重新登陆辅助
   回到这里 f8 单步往下
N_3EX%VIC45%7O6XSX(7.png

走到这里 发现弹出了到期时间 说明已经快要成功了 确定后继续f8 往下走到这里
393L4}G`0FI7]N8FYLQ0M{5.png

你会惊喜的发现 电脑关机了 mmp 这是作者留下来的暗桩。咱们重开虚拟机,再回到刚刚哪里
`SG2Q7(7Y%M6H~H8]`~K96H.png

这里可以跳过这个关机call(这个注释是我刚刚标注的),把jnz换成jmp,继续f8往下走,进辅助界面了,破解成功
O(BGG%H_FF7{IGEXQ4WB8$L.png

如果新手有看不懂的地方,可以看到这个yyhd大佬写给新人的帖子https://www.52pojie.cn/thread-1358649-1-1.html
原辅助的下载地址与我用的OD放下面了,大家可以用来练练手。
od与软件下载.txt (147 Bytes, 下载次数: 149)

由于软件加了壳,没办法直接破解。只能打补丁
AF34TMC6$Q4@7BB`CO}9W4X.png

[4XBTVQZA1(SWO79LT05.png

但个人技术有限,不知道为什么补丁总也打不上去用XH的补丁工具补了没效果。索性也就在这里问问大佬们是哪里出了问题

免费评分

参与人数 25吾爱币 +21 热心值 +22 收起 理由
ljp3217109878 + 1 + 1 我很赞同!
kerry144 + 1 + 1 我很赞同!
by_aka + 1 + 1 我很赞同!
88TziyyT + 1 + 1 能教教我吗
hm99024762 + 1 谢谢@Thanks!
laopangshu + 1 + 1 我很赞同!
19981115 + 1 + 1 我很赞同!
keepon + 1 我很赞同!
山上雪云间月 + 1 + 1 我很赞同!
John·Scott + 1 + 1 我很赞同!
yunhaiwuyu + 1 + 1 热心回复!
xu15219367909 + 2 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
chen1860906 + 1 + 1 用心讨论,共获提升!
夜降临Forever + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
我用飘柔 + 1 + 1 用心讨论,共获提升!
wuyang9527 + 1 + 1 我很赞同!
FEC_Sky + 1 + 1 我很赞同!
无名氏xxx + 1 热心回复!
qingchunbuxiu + 1 + 1 热心回复!
fanny188 + 1 谢谢@Thanks!
licongming233 + 1 + 1 用心讨论,共获提升!
MOSEN + 1 谢谢@Thanks!
tianjj77 + 1 看技术贴居然看乐了
景寒杏 + 1 我很赞同!
chensweet + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

sqxzxc 发表于 2021-4-18 22:55
本帖最后由 sqxzxc 于 2021-4-18 22:59 编辑

这边给你两个方法
第一种:修改那个软件名字csrss.exe   把这个名字随便改成别的即可
第二种:给补丁加上拖拽功能
补丁本身是没有问题的,只是补丁没有找到你那个软件 那个软件的名字和系统的csrss.exe一样 导致没有打上去

免费评分

参与人数 1吾爱币 +1 收起 理由
我没有id + 1 我很赞同!

查看全部评分

 楼主| 我没有id 发表于 2021-4-17 11:18
heilang99 发表于 2021-4-17 11:13
找不到这种upx的软件,都是带vmp变异虚拟化的。
话说回来这样的软件,我可以通杀。就是找不到

我都是慢慢找的,很多带vmp虚拟化的我都直接丢回收站了。
万一行了呢 发表于 2021-4-17 07:00
LLY201111 发表于 2021-4-17 06:39
感觉有点牛皮
andyhou9527 发表于 2021-4-17 07:40
从头到尾看了一下,果然是没有看懂,还要加油了
范俊恺 发表于 2021-4-17 07:41
- -。我看到了。。。。小熊猫~~!~~~~
sssssswyb 发表于 2021-4-17 08:01
看上了你的工具
奶味小可爱 发表于 2021-4-17 08:29
虽然看不懂,但不妨碍我叫一声大佬
a1328691 发表于 2021-4-17 08:30
谢谢大佬 写的很详细 希望再出一些精品教学
yj007 发表于 2021-4-17 08:41
期待成型板
she383536296 发表于 2021-4-17 08:42
看到小熊熊,想起了当年的噩梦
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 21:21

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表