好友
阅读权限40
听众
最后登录1970-1-1
|
易程序,即易语言编译出来的程序。这种程序属于静态编译【见涛哥对易语言描述】,具有一种特定的格式:易格式。
刚出道时,这种程序与VB一样难以琢磨:和VB一样的加载模式,一样的铜墙铁壁,一样的隐藏字符串【后来证明没VB做的好】。
自从Dtcser发布全能内存脱机以后这种程序就遭遇了安全危机。【先前有E Unpacker,但是没有造成很大的危机。因为其支持范围确实不容乐观。】
本文着重于让大家了解易程序破解方法,以及一些处理手段后如何继续处理。
——序
---------------------------------------------------------------------------------------------------------------------------------------------------------------
一.易语言的基本应对方法
1.查字符串
基本上Crackers碰上易程序就会松口气了,因为这种语言的天生残疾导致破解过程十分简单。
首先我们知道破解时如果有字符串作参考会事半功倍,那么如何查找呢?
直接使用超级字符串查找肯定是碰一鼻子灰的。
那么应该怎么做呢?
很简单。
OllyDbg加载->Alt+M->下断.ecode->F8执行到CLD->查字符串
是不是很轻松呢?
然而易语言也不是白痴,412升级后将.ecode抹了~不过又被发现了:。.ecode只是被替换为了第一个.data。
独立编译模式的段改得很彻底。不过也还是被发现了:第2个.data 空段
所以找字符串是很简单,也很轻松的事。
2.按钮事件
我破解易程序的时候更喜欢用按钮事件:简单明了。
这里我就着重讲下按钮事件的方便性。
1.直击关键代码。【碰上NoobyProtect就麻烦了。海量垃圾代码……】
2.避免字符串隐藏。【藏字符串很简单的,而且如果把字符串和代码分开也是可以防查找的。这样使破解麻烦了不少】
这么好的方法怎么做的呢?
方法一:OllyDbg加载->F9跑起程序->Alt+E->双击krnln.fne段->Ctrl+B查找FF 55 FC->下断Call->重复查找->确定所有按钮被断下后切回程序,点按钮->被断下,F7进Call来到我们的按钮事件入口
方法二:OllyDbg加载->Alt+M->下断.ecode->F8执行到CLD->Ctrl+B查找FF 55 FC->下断Call->重复查找->确定所有按钮被断下后F9,点按钮->被断下,F7进Call来到我们的按钮事件入口
我介绍了两种方法,虽然没多大区别,但是在实际运用中可能有一种无效,这时就切换另一种啦~
3.易程序的信息框
因为很多程序普遍使用信息框面向对象操作,所以易程序的信息框很重要。
我们讲一种比较投机的和一种正规的。
1.投机版
查找字符串,比较信息内容。如果是一样的双击进入。上面即有关键跳转代码。【比较投机,可能会因为对方的假信息被蒙蔽】
2.正规军
bp MessageboxA,触发信息框。被断下后F8,信息框执行后点确定关掉信息框。继续F8,经过几个跳转来到retn。F8,观察跟踪窗口。Return to 程序.xxxxxxxx from 程序.xxxxxxxx
From即为call ,Return是接收信息框返回数值滴~
正规军可能麻烦,但是基本上对所有的都有效。
二:被和谐过的易程序处理方法
被和谐,就是指程序通过处理达到反DumpE脱壳机。
我们这里讲几类吧。
1.被内存操作和谐。
比如写到内存 (0, 4206686, )这类擦出易标识的代码可以反DumpE0.32
但是如何解决被这类被和谐呢?
(1)使用善解易衣【是偶自己写的。哈哈~~~~】
善解易衣貌似已经给易语言官方和谐掉了。善解易衣是针对内存和谐法设计的一款工具。
Chord仿的一款斩月善解易衣可以达到同样效果,大家可以搜索(bbs.eyuyan.com里搜索仿善解易衣或搜索Chord所有帖子)。
(2)无视保护,直接脱壳。
⒈这个是很彪悍的方法,基本上可以跟脱机一个级别。甚至比脱机还强大。
但是你必须有以下工具:
OllyDbg
LordPE
ECE
方法如下:
OD加载,在40118A下硬件断点。F4执行到这里。打开LordPE,选择部分转存,地址是0x403000,Sise是27000
Dump下来以后,打开ECE,选择工具->易格式原体导入易骨骼,选择刚才Dump下来的数据植入,保存即可~
这种方法比较无敌,因为可以无视N多条件。
⒉断点+脱机法
加载程序后跑其,Alt+E找到Krnln.fne,进入。然后bp 10028EC6。重新加载,F9跑起,程序被断下。然后用脱机XXXXX去吧~【XXXXX=脱壳~】
2.被超级伪装者和谐
记住我们的信念,易语言不是非要脱壳才可以破解的!【口诀:不用脱光,亦可成功】
超级伪装者,本人不才目前尚未学会咋脱。但是我们可以无视外壳的说。
利用超级猥琐的跑法可以直接找到CLD,进行破解基本处理。过程如下:
OllyDbg加载->BP GetProcessHeap->F9知道出现WJ\Wutao等一些易语言标识时,Alt+F9返回。
找到Jmp eax【用下断ECODE法细心的人会发现,这里是直接跳到CLD的地方0~.~0】
F4执行到,F7进入。【我跑的时候F7经常返回断点去,解决方案是取消断点F8几下,就会重新来到Jmp eax。哈哈~】
到了CLD想查按钮事件的查按钮事件,想干嘛干嘛~吃嘛嘛香咯。
==================================================
总结:
1.易程序没斩月就没有相对的安全性。【斩月≠绝对安全。因为Dtcser说道有方法脱他的斩月处理器处理后的文件】
2.易程序很多时候无须脱壳直接可以调试。
3.易程序被超级伪装者等处理以后可以考虑直接破解,而不是想去脱壳
4.能脱就脱,不能就闪
5.碰到VM了代码的最直接的办法是硬上,因为VM无法保护某些内容,硬上可以看到跟没加壳一样的效果~~
6.正规军永远是最通用的,但也是麻烦的。
7.看帖不回的,全部是都应该被打PP的。
【原创作品 转载请注明作者】 |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2009-9-2 19:35
|
发表于 2009-9-2 19:42
发表于 2009-9-2 19:57
发表于 2009-9-2 20:00
学习学习了。
