实战某带vmprotect的数字数据恢复软件破解

isGyk · 发表于 2025-12-5 11:46

网站 aHR0cDovL3d3dy43MjBwYy5jb20vaG9tZS9ob21lL2luZGV4LnBocA==

这个软件是用来恢复被勒索病毒绑架的数据的

本教程仅为学习，不提供成品和kygen，不得用于商业行为，不得用于牟利

下载后到安装目录，本体查下壳

虽然是vmp，但是好像完全没有影响我接下来的调试
先启动软件（我的调试环境 OllDbg+windows 10）

我们随便输入一个激活码，在MessageBox 下断点，点击激活

可以看到此时断下了，我们去看下堆栈信息

去上一层调用MessageBox的地方看下

看了一下这个函数，这一层还不没有验证功能，继续向上追，我们按ctrl+f9 快速回溯这个call MessageBox 的函数

分析一下这一层的函数，看下有没有什么验证逻辑,

很短的函数，全是线性的，所以这一层也没有验证，继续返回上一层

这里就柳暗花明了，可以看到明文提示（目前不排除作者故意给的迷惑消息），继续向上看一下哪里可能是key jmp

不远处便是一个，我们把它nop掉

提示success了，去看下能不能使用

没问题了

那个key jmp 上面的call 可能是验证函数，试着把他ret 1 试试

这次应该是永久注册了
只改je的话，每次点激活都是一个新的激活节目，改了那个函数，这次激活变成已激活，输入框也灰色了

所以那个call应该就是验证call了，等有空在逆向一下验证算法吧

zixuanip · 发表于 2025-12-6 06:51

isGyk 发表于 2025-12-5 22:02
可以仔细描述一下吗，我采用的破解不是修改je，而是修改函数返回值

我是直接把你这里的 00728e36 call 006c88d4 直接改成 mov eax,0x1 效果就是输入任意字符都是激活成功。但主界面还是未激活状态.. 你这里的 mov eax,0x1 retn 是修改call 内部里面的返回值？我看到CALL里面的返回值很多pop 无从下手

isGyk · 发表于 2025-12-6 11:33

zixuanip 发表于 2025-12-6 06:51
我是直接把你这里的 00728e36 call 006c88d4 直接改成 mov eax,0x1 效果就是输入任意字符都是激活成 ...

1. 看调用前没有往这个函数压栈，所以直接retn就可以了
2. 只是破解一个函数，启动后几秒会自动变成未激活，这个时候再次点击激活就可以了。这里他用了一个定时器去检查软件启动后的状态，影响不大。
3. 我主界面是已激活

darksied · 发表于 2025-12-5 18:34

这个VMP看描述和没加一样啊

zixuanip · 发表于 2025-12-5 18:36

最开始的地址是什么

zixuanip · 发表于 2025-12-5 20:11

按教程任意字符都是提示激活成功。但实际还是未激活。

YLBS · 发表于 2025-12-5 20:34

这个壳加的丝毫不影响

isGyk · 发表于 2025-12-5 22:02

zixuanip 发表于 2025-12-5 20:11
按教程任意字符都是提示激活成功。但实际还是未激活。

可以仔细描述一下吗，我采用的破解不是修改je，而是修改函数返回值

isGyk · 发表于 2025-12-5 22:03

YLBS 发表于 2025-12-5 20:34
这个壳加的丝毫不影响

一开始被他的vmp吓到了

fdiquan · 发表于 2025-12-6 10:27

感觉好棒哟

帐号		自动登录	找回密码
密码			注册[Register]

[原创] 实战某带vmprotect的数字数据恢复软件破解