2009年6月10日星期三

[GFW Blog] 绿坝 花季护航软件破解

作者:飞剑吹雪  来源:http://blog.sina.com.cn/s/blog_5cdcee9b0100dqre.html

大家好我是飞剑吹雪,今天给大家带来“绿坝花季护航”的软件破解(最近不是闹的热闹嘛,呵呵~~)送给我的小姐姐~~~~祝她开心每一天,(*^__^*) 嘻嘻……
软件没加壳
Microsoft Visual C++ 6.0

我们知道软件要是想卸载需要输入密码的(当然这个密码只有父母知道啦),我们今天就要破解这个密码
我们点击“系统设置”-->弹出密码输入框--->当然我们输入假的密码提示“密码错误”

OD载入程序,查找字符串“密码错误”,确实能查到?(呵呵~~骗你的呢),看似很简单的破解,其实不然,我们始终断不下来,为什么呢?
原来是:主软件在运行到输入密码框的地方时,会生成一个附属软件(或者叫调用吧),C:\WINDOWS\system32\XNet2.exe
我们可以用bp CreateFileA拦截:

00128EB0   015ED6BC  |FileName = "C:\WINDOWS\system32\XNet2.exe"

我们可以直接运行这个软件就是输入密码的啦,呵呵~~然后用od载入
XNet2.exe
用f12堆栈法可以找到错误的call

004211E8  |.  897424 4C     |mov     dword ptr [esp+4C], esi
004211EC  |.  0F85 BF010000 |jnz     004213B1                     【关键跳转】
004211F2  |.  56            |push    esi
004211F3  |.  68 D8834600   |push    004683D8                        ;  绿坝.花季护航提示
004211F8  |.  51            |push    ecx
004211F9  |.  8BCC          |mov     ecx, esp
004211FB  |.  896424 40     |mov     dword ptr [esp+40], esp
004211FF  |.  68 DC904600   |push    004690DC                        ;  wrong password
00421204  |.  E8 63250200   |call    0044376C
00421209  |.  8D4424 2C     |lea     eax, dword ptr [esp+2C]
0042120D  |.  C68424 980200>|mov     byte ptr [esp+298], 4
00421215  |.  50            |push    eax
00421216  |.  E8 A500FFFF   |call    004112C0
0042121B  |.  83C4 08       |add     esp, 8
0042121E  |.  8BC8          |mov     ecx, eax
00421220  |.  C68424 940200>|mov     byte ptr [esp+294], 14
00421228  |.  E8 534AFEFF   |call    00405C80
0042122D  |.  50            |push    eax
0042122E  |.  56            |push    esi
0042122F  |.  FFD5          |call    ebp                             ;  【错误的提示call】
00421231  |.  8D4C24 20     |lea     ecx, dword ptr [esp+20]
00421235  |.  C68424 8C0200>|mov     byte ptr [esp+28C], 4

找到上面的关键跳转jnz,可以直接修改jmp,这样,嘿嘿,你可以把软件卸载了

至于原始密码是经过MD5加密的,存放在:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\xnet2\PASSWORD
可以到www.cmd5.com等MD5解密网站,解密,呵呵



--
Posted By GFW Blog to GFW Blog at 6/10/2009 07:50:00 P
--~--~---------~--~----~------------~-------~--~----~
GFW Blog又被封了,您可以通过以下网址翻墙访问:
https://meme2028.appspot.com/chinagfw.org/
https://soproxy.appspot.com/chinagfw.org/
https://proxytea.appspot.com/chinagfw.org/
https://quick-proxy.appspot.com/chinagfw.org/
https://free4internet.appspot.com/chinagfw.org/ 。 您也可以使用Google Reader订阅我们,订阅地址:http://chinagfw.org/feeds/posts/default。
To unsubscribe from this group, send email to
gfw-blog+unsubscribe@googlegroups.com
For more options, visit this group at
http://groups.google.com/group/gfw-blog?hl=zh-CN
-~----------~----~----~----~------~----~------~--~---

没有评论:

发表评论