用OD和peid破解软件（入门级别）

nanba

之前有段时间看了下各家论坛，发现破解软件又变得有些潮流了。。
  在这里，我就简单介绍一下破解软件这个技术把（本人很菜，以下观点仅代表个人立场= =）

  在很多情况下，我们下载的很多实用性的软件，都是需要注册的把。而在我们确实也需要那款软件的时候，我们要么就憋屈地去买，要么就想下个破解版。但问题是往往事不如意，并没有破解版。那这下子该怎么办呢？
  没有破解版，那就我们自己破解把。
  很多像我这样的小菜们，都有这样想过把。我以前也是这样想，所以就上网去看破解技术的介绍。但是，看了半天发现自己根本就是云里雾里，一点都不懂。什么内存地址啊、堆栈啊、入口点啊、断点啊（我还以为是歌曲呢= -）。。。。。。经过一番“艰苦奋斗”，我终于有所理解了。因此，在这里我分享一下我的初入门心得。

  首先，我们要用到的工具有：OD、peid

那么，就图文并茂地说吧。


首先，我们有这么一个测试软件在这里CrackMe.exe





然后我们先习惯性地运行peid，查一下这个东西有没有壳。

好，没有壳，是用VC++6.0编写的一个程序。



那接下来，我们运行OD，并把这个程序拖进OD中分析。






头晕了？这么快就头晕了？

别紧张，看起来是挺复杂的，但很多我们都暂时用不到。我们要的只是很少的一部分功能。

好把，先运行这个程序看一看。




这里要求我们输入正确的用户名和密码，也就是所谓的软件正版注册。


那好，在OD中我们开始分析。

这次我们在OD中点中那个红色的播放键（也就是启动）

然后在OD的环境中，随便填入用户名和密码。
在按验证键，弹出对话框后，我们在OD中按播放键旁边的暂停键，以暂停这个进程。





然后我们看一下提示出错的地方，然后逐一突破。



先点一下右边的那个K，看一下堆栈的信息。





我们看到这里，MessageBoxA，这里就是刚才弹出来的“兄弟加油”的对话框的内存地址了，点击旁边的英文krnln.....追踪一下看看。




好，在跳转到的这个call的这里，我们断一下点。按F2（这个断点的作用，我以后有机会再介绍把。）

然后点一下运行。

重新进行验证，发现OD里发生了跳转。

然后，我们往下走。点那个播放键的右边数过三个的键(单步跳过)

嗯，我们可以在OD的主窗口上面看到，现在的模块是krnln(E语言的运行库）

这个不是我们的目的，所以我们一直按跳转按到模块为crackme为止






这里，就是crackme的模块内存了。


好，看到了这个call了吗？

这个call，也是就提示出错的源头，所以我们要在这里突破。那我们往上翻一下，看一下有什么可以突破的地方好了。




上面的内容，我们看到了————一个jmp

0040C98A   /E9 36000000     jmp CrackMe.0040C9C5


jmp的作用：无条件的转移到指令指定的地址去执行从该地址开始的命令。

我们能看到jmp连接着一个红色箭头，指向了的是call下面的。也就是说当程序写到这里（jmp）的时候，就会实现无条件跳转，跳到  0040C9C5    8BE5            mov esp,ebp 这里。

我们不管它，继续往上走。

看到一个  0040C94E   /0F84 3B000000   je CrackMe.0040C98F

je：条件转移指令

条件是cmp
也就是这个je上面所对应的  0040C94A    837D F8 00      cmp dword ptr ss:[ebp-0x8],0x0

嗯，这个je的意思也就是，首先判断一下是否满足cmp内的条件，然后则je实行跳转

我们可以看到它是要跳转到jmp的下一个

0040C98F    68 04000080     push 0x80000004


这里的

那我们可以这样想一下。

jmp能直接无条件地跳过出错的call
然后，je是会判断条件，然后跳过jmp，执行call，call出错误提示

那分析到这里，我们就可以实行破解了


没错，只要我们把这个条件跳转，变成反条件跳转就好了。

控制转移条件相反。
je：(ZF)=1,则控制转移
jne：(ZF)=0,则控制转移
那这样，我们把这个je改为jne，点击汇编。



出现四个红色的nop

这也就代表着，我们已经汇编成功，也代表着我们破解成功。OK，按启动键，试一下吧！

lxczeus

坐等转移贴

逍遥枷锁

图片都无法显示，怎么回事

暗里着火

都看不了图片

Palkia

我这里也看不到图片，是不是今天开放注册，服务器负荷太大了？

jacky520510

这篇文章好像很久以前就看到过了

a277683013

坑爹，没图片看的云里雾里的。

leo580

楼主.好呀.刚刚学习OD.你的发的帖图挂了看不到.能重新上传一下嘛?谢谢,学习一下.

lcooa

图片都显示不了呢····