OllyDbg 使用教程 (七)


 

参考

书:《加密与解密》

视频:小甲鱼 解密系列 视频

 

示例程序下载:http://pan.baidu.com/s/1gvwlS

 

 

暴力破解

 

观察这个程序。可以从程序标题的<unregistered  个跟 About 中的 <Unregistered Version>入手

 

用OD打开程序,右键-->查找-->所有参考文本字串

 

图片1

 

 

在打开的界面中,将滚动条移到追上面(因为是从光标处开始搜索的),右键查找文本,先搜索<unregistered

 

图片2

 

 

双击找到的文本到代码处。

 

 

005CC81B   .  E8 9C5FEDFF   call    004A27BC
005CC820   .  A1 8CEB6000   mov     eax, dword ptr [60EB8C]
005CC825   .  8038 00       cmp     byte ptr [eax], 0
005CC828   .  0F85 07010000 jnz     005CC935
005CC82E   .  A1 DCF16000   mov     eax, dword ptr [60F1DC]
005CC833   .  8038 00       cmp     byte ptr [eax], 0
005CC836   .  0F85 F9000000 jnz     005CC935
005CC83C   .  68 70CB5C00   push    005CCB70                         ;  ASCII "PC Surgeon <unregistered - "
005CC841   .  D905 3CCA5C00 fld     dword ptr [5CCA3C]
005CC847   .  A1 8CEC6000   mov     eax, dword ptr [60EC8C]
005CC84C   .  DC20          fsub    qword ptr [eax]
005CC84E   .  83C4 F4       add     esp, -0C
005CC851   .  DB3C24        fstp    tbyte ptr [esp]
005CC854   .  9B            wait

 

仔细查看,前面的跳转,可以发现 jnz     005CC935 很关键。在前面一个jnz     005CC935处下断点,重新运行程序,发现第这两个jnz     005CC935  未跳转。

 

把第一个cmp     byte ptr [eax], 0    改成  cmp     byte ptr [eax], 1 使跳转实现。

 

按照同样的方法,搜索<Unregistered Version>,跟改跳转实现,即可破解程序。

 

 

其他方法

 

再来看看这段代码:

 

 

005CC811   .  E8 12B9E6FF                   call    <jmp.&shell32.ShellExecuteA>     ; \ShellExecuteA
005CC816   >  B8 58CB5C00                   mov     eax, 005CCB58                    ;  ASCII "Show: splash"
005CC81B   .  E8 9C5FEDFF                   call    004A27BC
005CC820   .  A1 8CEB6000                   mov     eax, dword ptr [60EB8C]
005CC825   .  8038 00                       cmp     byte ptr [eax], 0
005CC828   .  0F85 07010000                 jnz     005CC935
005CC82E   .  A1 DCF16000                   mov     eax, dword ptr [60F1DC]
005CC833      8038 00                       cmp     byte ptr [eax], 0
005CC836      0F85 F9000000                 jnz     005CC935
005CC83C   .  68 70CB5C00                   push    005CCB70                         ;  ASCII "PC Surgeon <unregistered - "
005CC841   .  D905 3CCA5C00                 fld     dword ptr [5CCA3C]
005CC847   .  A1 8CEC6000                   mov     eax, dword ptr [60EC8C]
005CC84C   .  DC20                          fsub    qword ptr [eax]
005CC84E   .  83C4 F4                       add     esp, -0C
005CC851   .  DB3C24                        fstp    tbyte ptr [esp]
005CC854   .  9B                            wait

 

 

 

这里有两个jnz     005CC935 。判断分别判断[[60EB8C]] 跟 [[60F1DC]] 是否为0。 从 fld     dword ptr [5CCA3C] 可以发现[5CCA3C]中是15.0 即试用天数。

仔细分析可以发现第一个jnz为判断是否正常,第二个为判断是否超过15天使用期。

所以[[60EB8C]]的值非常关键。要找出改[[60EB8C]]的值的地方。

 

选中mov     eax, dword ptr [60EB8C] , 右键-->查找参考-->地址常量,即可列出所有使用了这个地址的命令的位置。

 

图片3

 

 

 

在此窗口右键-->在每个命令上设置断点。重新运行程序。

 

图片4

 

 

 

按F9,来到此处:

 

 

005C2BF6   .  8B15 8CEB6000                 mov     edx, dword ptr [60EB8C]          ;  pcsurgeo.00610C4A
005C2BFC   .  8802                          mov     byte ptr [edx], al
005C2BFE   .  A1 8CEB6000                   mov     eax, dword ptr [60EB8C]
005C2C03   .  8038 00                       cmp     byte ptr [eax], 0
005C2C06   .  75 0D                         jnz     short 005C2C15
005C2C08   .  E8 6307EEFF                   call    004A3370
005C2C0D   .  A1 8CEC6000                   mov     eax, dword ptr [60EC8C]
005C2C12   .  DD18                          fstp    qword ptr [eax]
005C2C14   .  9B                            wait


看到 mov     byte ptr [edx], al 正是给[[60EB8C]] 赋值的地方,把它改成 mov     byte ptr [edx], 1,即可破解。

 

(在保存过程中会出现 重定位提示窗口,因为mov     byte ptr [edx], al改成mov     byte ptr [edx], 1后代码变多了,要重定位才可能正常运行。这里可以先不用管它。)