好友
阅读权限10
听众
最后登录1970-1-1
|
本帖最后由 boe165429072 于 2010-12-1 22:09 编辑
外挂名字为:Beta QQT V16.0 By.55589
是之前在论坛里下载的,到目前为止仍然是最新版 ,但是外挂有时候还是提示要更新而不能使用,我就动手把它搞掂了
首先查壳 peid查为 PEtite 2.x [Level 0] -> Ian Luck [Overlay],提示OVERLAY但脱了之后能运行没有附加数据
OD在载入
005A210F > B8 00205A00 mov eax,Beta_QQT.005A2000 //OD 停在此处
005A2114 6A 00 push 0
005A2116 68 7F9A5300 push Beta_QQT.00539A7F
005A211B 64:FF35 0000000>push dword ptr fs:[0]
005A2122 64:8925 0000000>mov dword ptr fs:[0],esp
005A2129 66:9C pushfw
005A212B 60 pushad //关键字 下一行 下硬件断点 然后F9 运行,遇到异常shift+F9
005A212C 50 push eax
005A212D 8BD8 mov ebx,eax
005A212F 0300 add eax,dword ptr ds:[eax]
断下后来到
005A2109 61 popad
005A210A 66:9D popfw
005A210C 83C4 0C add esp,0C //断下后来到这,
005A210F >- E9 9460EBFF jmp Beta_QQT.004581A8 //这里跳到到达OEP,DUMP+修复 ,可以运行
005A2114 - E9 AC6C5876 jmp WINMM.midiOutPrepareHeader
005A2119 - E9 5A7E5876 jmp WINMM.midiStreamOpen
005A211E - E9 933E5776 jmp WINMM.waveOutGetNumDevs
005A2123 - E9 32715876 jmp WINMM.midiOutReset
005A2128 - E9 7E815876 jmp WINMM.midiStreamClose
005A212D - E9 63BD267C jmp kernel32.GetCurrentProcess
005A2132 - E9 D9DC387C jmp ntdll.RtlSetLastWin32Error
005A2137 - E9 6646297C jmp kernel32.GlobalFlags
005A213C - E9 247B267C jmp kernel32.TlsSetValue
005A2141 - E9 A32B297C jmp kernel32.GlobalHandle
处理提示更新不能使用问题
载入脱壳后的程序 F9运行,弹出对话框,然后暂停,ALT+K(显示调用堆栈)
有这么一条
调用堆栈 ,项目 14
地址=0012FC4C
堆栈=00408D46
函数例程 / 参数=? USER32.MessageBoxA
调用来自=Unpack_.00408D40
框架=0012FC48
双击来到这里
00408D40 FF15 30954700 call dword ptr ds:[<&user32.Message>; USER32.MessageBoxA //来到这里,调用对话框,附近没有跳能跳过。。。。。。下面不知道怎么搞了,找不到路子,然后我就改用查找字符串的
00408D46 5F pop edi
00408D47 83F8 03 cmp eax,3
00408D4A 5E pop esi
00408D4B 75 0F jnz short Unpack_.00408D5C
00408D4D 8B4C24 68 mov ecx,dword ptr ss:[esp+68]
00408D51 B8 02000000 mov eax,2
00408D56 8901 mov dword ptr ds:[ecx],eax
00408D58 83C4 64 add esp,64
00408D5B C3 retn
上面提示升级的对话框有提示QQ群号的,然后在字符串里刚好能找到
查找字符串来到
00403D45 68 CB105000 push Unpack_.005010CB ; \n\n\n\n\n\nbeta qqt 交流群①:97188932 beta qqt 交流群②:16272289\n\n\n\nbeta qqt 交流群③:119671436 beta qqt 交流群④:120747654\n\n\n\n 我的邮箱:huayou60@163.com\n\n\n\n 我的qq:376602897 //来到这里,向上找关键跳
00403D4A FF75 F0 push dword ptr ss:[ebp-10]
00403D4D B9 02000000 mov ecx,2
00403D52 E8 FCDAFFFF call Unpack_.00401853
00403D57 83C4 08 add esp,8
00403CDF E8 A2370000 call Unpack_.00407486
00403CE4 83C4 34 add esp,34
00403CE7 8945 EC mov dword ptr ss:[ebp-14],eax
00403CEA 8B5D F0 mov ebx,dword ptr ss:[ebp-10]
00403CED 85DB test ebx,ebx
00403CEF 74 09 je short Unpack_.00403CFA
00403CF1 53 push ebx
00403CF2 E8 89370000 call Unpack_.00407480
00403CF7 83C4 04 add esp,4
00403CFA 837D EC FF cmp dword ptr ss:[ebp-14],-1 //这里跟-1比较,把-1改成大于1的应该也行吧,我改了10可以,dword ptr ss:[ebp-14]=FFFFFFFF
00403CFE /0F85 5B010000 jnz Unpack_.00403E5F //这个跳转能跳过下面提示的字符串,然后这里jne改成jmp 就能正常运行了
00403D04 |C745 F8 0000000>mov dword ptr ss:[ebp-8],0
00403D0B |6A 00 push 0
00403D0D |8D45 F8 lea eax,dword ptr ss:[ebp-8]
程序 我看不懂,我就顺便改了改,结果就给我弄出来了,
给位大牛帮我在分析分析下,哪个是网络验证的CALL,应该把那个CALL NOP掉也行的吧?
原文件跟脱壳后的.rar
(1.63 MB, 下载次数: 25)
Crack.rar
(807.11 KB, 下载次数: 14)
处男贴。。。 |
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2010-12-1 21:26
|
发表于 2010-12-1 21:27
