无忧启动论坛

标题: 研究老九的 XPESET [打印本页]
作者: qinjg8008    时间: 2006-11-18 00:41
标题: 研究老九的 XPESET
1.使用工具 OllyDBG (不会用就不用看了)
2.分析思路
1)修改桌面的老九广告。方法:跟踪 GDI 函数(要有耐心啊),老九很仁慈,只显示一次。简单的判断语句,修改一个字节可以解决(在哪里?自己找)。
2)修改对XPEHELP的校验。方法:老九的思路是判断是否校验成功,成功就执行任务,不成功就跳转,就是罢工啦。关键是这个跳转,嘿嘿,先要知道它执行什么任务(这个都不知道,你就没必要看这篇文章了)。我的思路查找那些程序中的有关它执行任务的字符串,比如设置变量,然后顺藤摸瓜……
这个校验有两处,但调用的相同的子程序
3)分析结束,祝你成功。一共修改3个字节。

脱壳很简单,市面上好像很多 PECompact 的脱壳机。傻瓜式的。不放心脱壳效果就用OllyDBG手脱。看雪论坛多看看,教程啦,脱壳机啦,一大堆(那可是高手如云的地方,我在那里可是小菜鸟一个,哈哈)

[ 本帖最后由 qinjg8008 于 2006-11-18 10:48 AM 编辑 ]

Snap2.jpg (96.05 KB, 下载次数: 198)

Snap2.jpg
作者: xdg3669    时间: 2006-11-18 06:56
楼主的分析的确是一个好方法,值得学习。可惜我太菜了。^_^。

[ 本帖最后由 xdg3669 于 2006-11-18 06:57 AM 编辑 ]
作者: l1982012800    时间: 2006-11-18 07:41
又来一个破解高手,支持啊
作者: zts59    时间: 2006-11-18 08:57
水平有限,可能不能成功,这个思路不错,呵呵。谢谢
作者: fage520    时间: 2006-11-18 09:28
我也有同感,水平太菜,
没有成功。
作者: lh82102849    时间: 2006-11-18 09:31
可以试试啊,不过自己太菜了,是否成功是个未知数啊
作者: lxl1638    时间: 2006-11-18 11:28
嘿嘿,想不到一个小小的工具也能引来看雪的高手,值啊。其实,破解它很容易,因为重点已不是对文件的校验,所以源码也很通俗:
If 条件 Then 操作1
Else 执行操作2

要想执行操作1,就将条件改为永恒为即可;要想执行操作2,就将条件改为永恒为即可。
因此只需改1个字节。

[ 本帖最后由 lxl1638 于 2006-11-18 11:30 AM 编辑 ]
作者: lapolei    时间: 2006-11-18 11:40
水平有限,可能不能成功,这个思路不错,呵呵。谢谢
作者: ptingg82    时间: 2006-11-18 11:58
你的桌面色彩怎么这么好,我的845主板太难看了
作者: fage520    时间: 2006-11-18 12:08
我的也是845主板,没发现有什么问题,
一样那么清晰!!
作者: vlk001    时间: 2006-11-18 12:15
菜菜的,不懂
作者: qinjg8008    时间: 2006-11-18 12:16
原帖由 lxl1638 于 2006-11-18 11:28 AM 发表
嘿嘿,想不到一个小小的工具也能引来看雪的高手,值啊。其实,破解它很容易,因为重点已不是对文件的校验,所以源码也很通俗:

要想执行操作1,就将条件改为永恒为真即可;要想执行操作2,就将条件改为永恒为假 ...

修改一个就可以,哈哈
看来我还是没找到关键所在。
我水平也就这么样了,希望还有高手出现阿
作者: QJCM    时间: 2006-11-19 00:16
楼主啊!

大概在多少位置上啊!!!

4001000-***** 之间.

给个提示吗....

多多谢了.
作者: Sia    时间: 2006-11-19 03:39
看到论坛里的朋友们对老九对xpeset.exe破解感兴趣,且老九亦不介意,故把破解过程放上来,算是抛砖引玉吧。

1) 先脱壳,PEcompact非常容易脱。

2) 搞定校验,此程序用MD5校验。拦截对话框,设断 bp MessageBoxA

  2. 00418072  |> \837D FC 00    cmp     dword ptr [ebp-4], 0      ;  这里是校验对比
  3. 00418076      74 17         je      short 0041808F            ;  通过则转跳
  4. 00418078  |.  6A 00         push    0
  5. 0041807A  |.  68 A4814100   push    004181A4                  ;  提示。
  6. 0041807F  |.  8B45 FC       mov     eax, dword ptr [ebp-4]
  7. 00418082  |.  E8 E5C6FEFF   call    0040476C
  8. 00418087  |.  50            push    eax                       ; |Text = "老九WinPE系统初始",....
  9. 00418088  |.  6A 00         push    0                         ; |hOwner = NULL
  10. 0041808A  |.  E8 9DE2FEFF   call    0040632C                  ; \MessageBoxA  弹出警告
复制代码

上面只要把 00418076 那行改为转跳就行--亦即是"74"改为"EB"。

3) 再来看看版权信息--“狗屁版权”,大家知道老九是茂名二中的员工,他自称“老九”,也就是老师啦,“狗屁”两字有点不雅,且有失为人师表之嫌。故我把它改为“无忧论坛”,但运行会出现另外警告,程序还有对本身被修改的检测,原程序校验码为“424EFC6E6023229CF94D675EDA59191A”,修改后为“E7BD00C9604AF3A61017C9D7593C5A68”,替换则好。


4) 请大家尊重老九的成果。

[ 本帖最后由 Sia 于 2006-11-19 04:19 AM 编辑 ]
作者: QJCM    时间: 2006-11-19 06:04
  且老九亦不介意,..............


高风亮节,佩服!!!



程序还有对本身被修改的检测..............替换则好。


这里就没法跳转了是吗?

[ 本帖最后由 QJCM 于 2006-11-19 06:10 AM 编辑 ]
作者: 老毛桃    时间: 2006-11-19 08:30
原帖由 Sia 于 2006-11-19 03:39 发表
看到论坛里的朋友们对老九对xpeset.exe破解感兴趣,且老九亦不介意,故把破解过程放上来,算是抛砖引玉吧。

1) 先脱壳,PEcompact非常容易脱。

2) 搞定校验,此程序用MD5校验。拦截对话框,设断 bp Message ...

哈哈,无忧果然不缺强人啊!
作者: lxl1638    时间: 2006-11-19 13:29
若是使用XPEHELP.EXE的,可在注册表SOFTWARE中增加以下内容,启动后就不显示那几个字了。
XPESET.EXE同样可以做到这样,不过要元旦后再公布。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\_SOFTWARE\Microsoft\Windows NT\CurrentVersion\CrypWin]
"XPEHELP.EXE"="69F027BEB73CBCC2BCA0570C1598BAA5"

[ 本帖最后由 lxl1638 于 2006-11-19 01:30 PM 编辑 ]
作者: secowu    时间: 2006-11-19 13:41
这个看来是无忧论坛的名声大了,高手都往这来了。
值得恭喜
作者: hb3721    时间: 2006-11-20 09:57
看到论坛里的朋友们对老九对xpeset.exe破解感兴趣,且老九亦不介意,故把破解过程放上来,算是抛砖引玉吧。

1) 先脱壳,PEcompact非常容易脱。

2) 搞定校验,此程序用MD5校验。拦截对话框,设断 bp MessageBoxA



CODE:[Copy to clipboard]00418072  |> \837D FC 00    cmp     dword ptr [ebp-4], 0      ;  这里是校验对比
00418076      74 17         je      short 0041808F            ;  通过则转跳
00418078  |.  6A 00         push    0
0041807A  |.  68 A4814100   push    004181A4                  ;  提示。
0041807F  |.  8B45 FC       mov     eax, dword ptr [ebp-4]
00418082  |.  E8 E5C6FEFF   call    0040476C
00418087  |.  50            push    eax                       ; |Text = "老九WinPE系统初始",....
00418088  |.  6A 00         push    0                         ; |hOwner = NULL
0041808A  |.  E8 9DE2FEFF   call    0040632C                  ; \MessageBoxA  弹出警告

上面只要把 00418076 那行改为转跳就行--亦即是"74"改为"EB"。

3) 再来看看版权信息--“狗屁版权”,大家知道老九是茂名二中的员工,他自称“老九”,也就是老师啦,“狗屁”两字有点不雅,且有失为人师表之嫌。故我把它改为“无忧论坛”,但运行会出现另外警告,程序还有对本身被修改的检测,原程序校验码为“424EFC6E6023229CF94D675EDA59191A”,修改后为“E7BD00C9604AF3A61017C9D7593C5A68”,替换则好。



授人鱼不如授人渔!!!

1.这里毕竟不是看雪,我等很想学破解!!!能具体点吗? 这是哪个版本的 xpeset.exe ?
2.校验码 是 MD5 的吗?我用MD5校验出来的校验码为什么不同?
作者: QJCM    时间: 2006-11-20 11:36
1) 先脱壳,PEcompact非常容易脱。


容易............?

我没脱干净过,"脱"是"脱"了,"ASCII"段真的能整出:

|Text = "老九WinPE系统初始",....
|hOwner = NULL
\MessageBoxA  弹出警告


这个样吗 ????????????????
作者: lxl1638    时间: 2006-11-20 11:40
原帖由 QJCM 于 2006-11-20 11:36 AM 发表


容易............?

我没脱干净过,"脱"是"脱"了,"ASCII"段真的能整出:



这个样吗 ????????????????


本人用PEcompact,不是为了加壳,而是为了压缩,试了几个压缩工具,就它压缩率最高。
作者: 老毛桃    时间: 2006-11-20 11:52
原帖由 lxl1638 于 2006-11-20 11:40 发表


本人用PEcompact,不是为了加壳,而是为了压缩,试了几个压缩工具,就它压缩率最高。

还要看资源状况的,有的文件,则是 NSPack 压缩效率高,有的文件,则是用 UPX 压缩更好
作者: QJCM    时间: 2006-11-20 11:56
我只不过是想知道  'Sia'  目前真能脱出"ASCII"段的文字?
作者: lxl1638    时间: 2006-11-20 11:56
原帖由 老毛桃 于 2006-11-20 11:52 AM 发表
还要看资源状况的,有的文件,则是 NSPack 压缩效率高,有的文件,则是用 UPX 压缩更好


手头没有NSPack,本人是用UPX、PECompact、ASPACK这三个加壳最弱的工具对XPESET.EXE分别压缩的,其中压缩率最好的是PECompact。老毛能否帖NSPack上来(不大的话)。
作者: xdg3669    时间: 2006-11-20 13:06
原帖由 老毛桃 于 2006-11-20 11:52 AM 发表

还要看资源状况的,有的文件,则是 NSPack 压缩效率高,有的文件,则是用 UPX 压缩更好


我用还是 NSPack 压缩效率高!下面是Nspack3.7的!

Nspack3.7.part1.rar

300 KB, 下载次数: 74, 下载积分: 无忧币 -2

Nspack3.7.part2.rar

264.76 KB, 下载次数: 78, 下载积分: 无忧币 -2

作者: 老毛桃    时间: 2006-11-20 13:14
原帖由 lxl1638 于 2006-11-20 11:56 发表


手头没有NSPack,本人是用UPX、PECompact、ASPACK这三个加壳最弱的工具对XPESET.EXE分别压缩的,其中压缩率最好的是PECompact。老毛能否帖NSPack上来(不大的话)。

哦,我来晚了,楼上上传过了。

PS:XDG Ltd(国际风险投资公司)?????
作者: willsion    时间: 2006-11-20 14:22
呵呵,看来老九的一招文件验证引来不要高手啊。

看看热闹。

当然,也学习到一些知识。
作者: lywsam    时间: 2006-11-20 19:40
只要算出修改后的文件的校验的值不就可以了吗?
作者: lywsam    时间: 2006-11-20 21:14
发个去掉验证的文件好了,老九不要生气哦!

XPESET.rar

49.26 KB, 下载次数: 177, 下载积分: 无忧币 -2

作者: lxl1638    时间: 2006-11-20 21:37
原帖由 lywsam 于 2006-11-20 09:14 PM 发表
发个去掉验证的文件好了,老九不要生气哦!


没事,本人也说过,迟早有人做的。本人的目的就是要给无忧引来高手。
做拉客仔。
作者: dna54001    时间: 2006-11-20 23:58
呵呵,看来老九的一招文件验证引来不要高手啊。

看看热闹
作者: QJCM    时间: 2006-11-21 02:14
发个去掉验证的文件好了,.........


不完美啊!!!

:)"自检"还在了.换个好看点的图标也不行的.:D

[ 本帖最后由 QJCM 于 2006-11-21 02:16 AM 编辑 ]
作者: fanky1978    时间: 2006-11-21 05:18
标题: 水平有限,可能不能成功,
水平有限,可能不能成功,
作者: QJCM    时间: 2006-11-23 06:21
免"自检"不行吗???

有人能解决---否!!!
作者: Sia    时间: 2006-11-25 02:14
自检"还在了.换个好看点的图标也不行的

你要换哪一个图标?
免"自检"不行吗???
有人能解决---否!!!

还有自检?你按上面做还不行?贴个图看看。
作者: QJCM    时间: 2006-11-25 12:27
贴个图看看。


图标好看吧!!!

可是不能正常运行了.  用 ResHacker 更换, 不知道是不是初始自检失败造成的???

(改校验值不容易啊:L)

Snap1.jpg (21.74 KB, 下载次数: 86)

图标对比看看

图标对比看看
作者: Yonsm    时间: 2007-1-6 22:07
似乎PEDIY.COM在大家心中还蛮高深的
作者: haohaodlam    时间: 2007-8-15 15:43
用两天时间研究破掉了 单片机的汇编果然没白学 改了一个地方
作者: haohaodlam    时间: 2007-8-15 15:51

这个位置是 判断是否被文件修改的判断
懂破解的人应该知道的吧  哈哈
作者: BBS-YAYA    时间: 2009-10-23 15:47

这里果然是高手云集啊!学了不少
作者: yulon    时间: 2009-10-23 17:20
原帖由 BBS-YAYA 于 2009-10-23 15:47 发表

这里果然是高手云集啊!学了不少



你挖坟竟然还是无意义发帖···建议封号···此人挖了不止一个坟···
作者: lxl1638    时间: 2009-10-24 12:58
真够本事了,三年前的帖子也能挖出来。



欢迎光临 无忧启动论坛 (http://bbs.wuyou.net/) Powered by Discuz! X3.3