研究老九的 XPESET

qinjg8008 · 发表于 2006-11-18 00:41:34

1.使用工具 OllyDBG （不会用就不用看了）
2.分析思路
1)修改桌面的老九广告。方法：跟踪 GDI 函数（要有耐心啊），老九很仁慈，只显示一次。简单的判断语句，修改一个字节可以解决（在哪里？自己找）。
2）修改对XPEHELP的校验。方法：老九的思路是判断是否校验成功，成功就执行任务，不成功就跳转，就是罢工啦。关键是这个跳转，嘿嘿，先要知道它执行什么任务（这个都不知道，你就没必要看这篇文章了）。我的思路查找那些程序中的有关它执行任务的字符串，比如设置变量，然后顺藤摸瓜……
这个校验有两处，但调用的相同的子程序
3）分析结束，祝你成功。一共修改3个字节。

脱壳很简单，市面上好像很多 PECompact 的脱壳机。傻瓜式的。不放心脱壳效果就用OllyDBG手脱。看雪论坛多看看，教程啦，脱壳机啦，一大堆（那可是高手如云的地方，我在那里可是小菜鸟一个，哈哈）

[ 本帖最后由 qinjg8008 于 2006-11-18 10:48 AM 编辑 ]

xdg3669 · 发表于 2006-11-18 06:56:05

楼主的分析的确是一个好方法，值得学习。可惜我太菜了。^_^。

[ 本帖最后由 xdg3669 于 2006-11-18 06:57 AM 编辑 ]

l1982012800 · 发表于 2006-11-18 07:41:31

又来一个破解高手,支持啊

zts59 · 发表于 2006-11-18 08:57:13

水平有限，可能不能成功，这个思路不错，呵呵。谢谢

fage520 · 发表于 2006-11-18 09:28:18

我也有同感，水平太菜，
没有成功。

lh82102849 · 发表于 2006-11-18 09:31:59

可以试试啊，不过自己太菜了，是否成功是个未知数啊

lxl1638 · 发表于 2006-11-18 11:28:02

嘿嘿，想不到一个小小的工具也能引来看雪的高手，值啊。其实，破解它很容易，因为重点已不是对文件的校验，所以源码也很通俗：

If 条件 Then 操作1
Else 执行操作2

要想执行操作1，就将条件改为永恒为真即可；要想执行操作2，就将条件改为永恒为假即可。
因此只需改1个字节。

[ 本帖最后由 lxl1638 于 2006-11-18 11:30 AM 编辑 ]

lapolei · 发表于 2006-11-18 11:40:28

水平有限，可能不能成功，这个思路不错，呵呵。谢谢

ptingg82 · 发表于 2006-11-18 11:58:51

你的桌面色彩怎么这么好,我的845主板太难看了

fage520 · 发表于 2006-11-18 12:08:30

我的也是845主板，没发现有什么问题，
一样那么清晰！！

vlk001 · 发表于 2006-11-18 12:15:17

菜菜的，不懂

qinjg8008 · 发表于 2006-11-18 12:16:56

原帖由 lxl1638 于 2006-11-18 11:28 AM 发表
嘿嘿，想不到一个小小的工具也能引来看雪的高手，值啊。其实，破解它很容易，因为重点已不是对文件的校验，所以源码也很通俗：

要想执行操作1，就将条件改为永恒为真即可；要想执行操作2，就将条件改为永恒为假 ...

修改一个就可以，哈哈
看来我还是没找到关键所在。
我水平也就这么样了，希望还有高手出现阿

QJCM · 发表于 2006-11-19 00:16:29

楼主啊!

大概在多少位置上啊!!!

4001000-***** 之间.

给个提示吗....

多多谢了.

Sia · 发表于 2006-11-19 03:39:51

看到论坛里的朋友们对老九对xpeset.exe破解感兴趣，且老九亦不介意，故把破解过程放上来，算是抛砖引玉吧。

1) 先脱壳，PEcompact非常容易脱。

2) 搞定校验，此程序用MD5校验。拦截对话框，设断 bp MessageBoxA

00418072 |> \837D FC 00 cmp dword ptr [ebp-4], 0 ; 这里是校验对比
00418076 74 17 je short 0041808F ; 通过则转跳
00418078 |. 6A 00 push 0
0041807A |. 68 A4814100 push 004181A4 ; 提示。
0041807F |. 8B45 FC mov eax, dword ptr [ebp-4]
00418082 |. E8 E5C6FEFF call 0040476C
00418087 |. 50 push eax ; |Text = "老九WinPE系统初始",....
00418088 |. 6A 00 push 0 ; |hOwner = NULL
0041808A |. E8 9DE2FEFF call 0040632C ; \MessageBoxA 弹出警告

复制代码

上面只要把 00418076 那行改为转跳就行--亦即是"74"改为"EB"。

3) 再来看看版权信息--“狗屁版权”，大家知道老九是茂名二中的员工，他自称“老九”，也就是老师啦，“狗屁”两字有点不雅，且有失为人师表之嫌。故我把它改为“无忧论坛”，但运行会出现另外警告，程序还有对本身被修改的检测，原程序校验码为“424EFC6E6023229CF94D675EDA59191A”，修改后为“E7BD00C9604AF3A61017C9D7593C5A68”，替换则好。

4) 请大家尊重老九的成果。

[ 本帖最后由 Sia 于 2006-11-19 04:19 AM 编辑 ]

QJCM · 发表于 2006-11-19 06:04:38

且老九亦不介意，..............

高风亮节,佩服!!!

程序还有对本身被修改的检测..............替换则好。

这里就没法跳转了是吗?

[ 本帖最后由 QJCM 于 2006-11-19 06:10 AM 编辑 ]

老毛桃 · 发表于 2006-11-19 08:30:07

原帖由 Sia 于 2006-11-19 03:39 发表
看到论坛里的朋友们对老九对xpeset.exe破解感兴趣，且老九亦不介意，故把破解过程放上来，算是抛砖引玉吧。

1) 先脱壳，PEcompact非常容易脱。

2) 搞定校验，此程序用MD5校验。拦截对话框，设断 bp Message ...

哈哈，无忧果然不缺强人啊！

lxl1638 · 发表于 2006-11-19 13:29:27

若是使用XPEHELP.EXE的，可在注册表SOFTWARE中增加以下内容，启动后就不显示那几个字了。
XPESET.EXE同样可以做到这样，不过要元旦后再公布。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\_SOFTWARE\Microsoft\Windows NT\CurrentVersion\CrypWin]
"XPEHELP.EXE"="69F027BEB73CBCC2BCA0570C1598BAA5"

[ 本帖最后由 lxl1638 于 2006-11-19 01:30 PM 编辑 ]

secowu · 发表于 2006-11-19 13:41:55

这个看来是无忧论坛的名声大了，高手都往这来了。
值得恭喜

hb3721 · 发表于 2006-11-20 09:57:44

看到论坛里的朋友们对老九对xpeset.exe破解感兴趣，且老九亦不介意，故把破解过程放上来，算是抛砖引玉吧。

1) 先脱壳，PEcompact非常容易脱。

2) 搞定校验，此程序用MD5校验。拦截对话框，设断 bp MessageBoxA

CODE:[Copy to clipboard]00418072  |> \837D FC 00 cmp    dword ptr [ebp-4], 0    ;  这里是校验对比
00418076    74 17       je    short 0041808F          ;  通过则转跳
00418078  |.  6A 00       push 0
0041807A  |.  68 A4814100 push 004181A4                ;  提示。
0041807F  |.  8B45 FC    mov    eax, dword ptr [ebp-4]
00418082  |.  E8 E5C6FEFF call 0040476C
00418087  |.  50          push eax                      ; |Text = "老九WinPE系统初始",....
00418088  |.  6A 00       push 0                      ; |hOwner = NULL
0041808A  |.  E8 9DE2FEFF call 0040632C                ; \MessageBoxA  弹出警告

上面只要把 00418076 那行改为转跳就行--亦即是"74"改为"EB"。

3) 再来看看版权信息--“狗屁版权”，大家知道老九是茂名二中的员工，他自称“老九”，也就是老师啦，“狗屁”两字有点不雅，且有失为人师表之嫌。故我把它改为“无忧论坛”，但运行会出现另外警告，程序还有对本身被修改的检测，原程序校验码为“424EFC6E6023229CF94D675EDA59191A”，修改后为“E7BD00C9604AF3A61017C9D7593C5A68”，替换则好。

授人鱼不如授人渔!!!

1.这里毕竟不是看雪,我等很想学破解!!!能具体点吗? 这是哪个版本的 xpeset.exe ?
2.校验码是 MD5 的吗?我用MD5校验出来的校验码为什么不同?

QJCM · 发表于 2006-11-20 11:36:50

1) 先脱壳，PEcompact非常容易脱。

容易............?

我没脱干净过,"脱"是"脱"了,"ASCII"段真的能整出:

|Text = "老九WinPE系统初始",....
|hOwner = NULL
\MessageBoxA 弹出警告

这个样吗 ????????????????

lxl1638 · 发表于 2006-11-20 11:40:58

原帖由 QJCM 于 2006-11-20 11:36 AM 发表

容易............?

我没脱干净过,"脱"是"脱"了,"ASCII"段真的能整出:

这个样吗 ????????????????

本人用PEcompact，不是为了加壳，而是为了压缩，试了几个压缩工具，就它压缩率最高。

老毛桃 · 发表于 2006-11-20 11:52:53

原帖由 lxl1638 于 2006-11-20 11:40 发表

本人用PEcompact，不是为了加壳，而是为了压缩，试了几个压缩工具，就它压缩率最高。

还要看资源状况的，有的文件，则是 NSPack 压缩效率高，有的文件，则是用 UPX 压缩更好

QJCM · 发表于 2006-11-20 11:56:38

我只不过是想知道 'Sia' 目前真能脱出"ASCII"段的文字?

lxl1638 · 发表于 2006-11-20 11:56:47

原帖由 老毛桃 于 2006-11-20 11:52 AM 发表
还要看资源状况的，有的文件，则是 NSPack 压缩效率高，有的文件，则是用 UPX 压缩更好

手头没有NSPack，本人是用UPX、PECompact、ASPACK这三个加壳最弱的工具对XPESET.EXE分别压缩的，其中压缩率最好的是PECompact。老毛能否帖NSPack上来(不大的话)。

xdg3669 · 发表于 2006-11-20 13:06:44

原帖由 老毛桃 于 2006-11-20 11:52 AM 发表

还要看资源状况的，有的文件，则是 NSPack 压缩效率高，有的文件，则是用 UPX 压缩更好

我用还是 NSPack 压缩效率高！下面是Nspack3.7的！

老毛桃 · 发表于 2006-11-20 13:14:55

原帖由 lxl1638 于 2006-11-20 11:56 发表

手头没有NSPack，本人是用UPX、PECompact、ASPACK这三个加壳最弱的工具对XPESET.EXE分别压缩的，其中压缩率最好的是PECompact。老毛能否帖NSPack上来(不大的话)。

哦，我来晚了，楼上上传过了。

PS：XDG Ltd（国际风险投资公司）？？？？？

willsion · 发表于 2006-11-20 14:22:12

呵呵，看来老九的一招文件验证引来不要高手啊。

看看热闹。

当然，也学习到一些知识。

lywsam · 发表于 2006-11-20 19:40:56

只要算出修改后的文件的校验的值不就可以了吗？

lywsam · 发表于 2006-11-20 21:14:34

发个去掉验证的文件好了，老九不要生气哦！

lxl1638 · 发表于 2006-11-20 21:37:12

原帖由 lywsam 于 2006-11-20 09:14 PM 发表
发个去掉验证的文件好了，老九不要生气哦！

没事，本人也说过，迟早有人做的。本人的目的就是要给无忧引来高手。
做拉客仔。

		自动登录	找回密码
密码			注册