QQ登录

只需一步,快速开始

搜索
查看: 3134|回复: 6

[原创破解] Winlicense 2.3x往后版本 cmpRxx 查找。

[复制链接]

861

积分

155

主题

8

精华

坛主

Rank: 9Rank: 9Rank: 9

违规
0 点
JmPoint
7565 点
声望
31 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-7-23
最后登录
2018-10-3
在线时间
755 小时

论坛元勋奖章特殊贡献勋章4st TeAm成员土豪勋章

发表于 2017-10-20 16:46:14 | 显示全部楼层 |阅读模式
Themida - Winlicense  Patch Hwid (修改机器码)

老版本论坛有教程直接找到第一个跳转然后直接搜索
[Asm] 纯文本查看 复制代码
cmp eax,ecx
pushfd


那么新版本呢。。新版本就比较麻烦了。。网上资料基本没有。。本菜抛砖引玉一下。。

首先 跟老版本一样。先找到机器码提示。对提示信息API 下断点。msgbox的下层函数 最好。

然后 回到壳段领空。代码格式一般为

[Asm] 纯文本查看 复制代码
push xxx
jmp xxxx
push xxx
jmp xxxx
push xxx
jmp xxxx
push xxx
jmp xxxx


老版本为 第一个跳 比较新的为第二个跳  这里就有一个很有意思的事情了。。TMD的的这个构造结构 是自上而下的。也就是说 push xxxx jmp 的这个结构从最早版本开始就是 1234 这么调用。
所以 你只要找到你提示的返回地址 向上推 一个push jmp  或 两个。这里我说下为什么可能是两个。因为有的会提示 这个key的所属用户。会掉一次key解密。没有的就是一次 有的就是两次。不好区分 你就 上边的两个push jmp 都下硬件执行断点。断下后 全局 ctl+s 查找 命令序列
[Asm] 纯文本查看 复制代码
cmp [r32],r32
pushfd


代码最好肉眼区分下。。至于怎么区分 我就不讲了。。看汇编代码上下文看着顺眼就是了。 找到的都下断点。然后 写脚本记录数据。

假设 我找到的是

[Asm] 纯文本查看 复制代码
00B5F124   CMP dword [edi],esi


脚本内容为

[Asm] 纯文本查看 复制代码
bphws 00B5F124,"x"
Main:
esto
ITOA [edi]
mov vEdi,$RESULT 
ITOA esi
mov vEsi,$RESULT 
WRTA "LOG.txt","数据1=="+vEdi+"数据2=="+vEsi
jmp Main


记录到的数据会很多。基本上就是 获取DLL空间之后 下面  最开始的数据。具体怎么区分主要靠经验。如果不能区分出来 那么就在 授权和未授权机器上自己跑脚本对比记录文件。找到关键对比数值。

修补很简单。以我这个为例子。
[Asm] 纯文本查看 复制代码
@1:
pushfd
cmp esi,token(对比的数据)
jnz @2
mov [edi],token
@2:
popfd
CMP dword [edi],esi //此处为补码。
jmp xxxx


视频教程我就不录了。。。。觉得逆向没落了。很多东西 再也没有人共享资料了。。。

评分

参与人数 2JmPoint +6 收起 理由
yAYa + 5 给师傅疯狂打call
yuan71058 + 1 就想知道你最后的QJ是不是强奸的意思.

查看全部评分

回复

使用道具 举报

861

积分

155

主题

8

精华

坛主

Rank: 9Rank: 9Rank: 9

违规
0 点
JmPoint
7565 点
声望
31 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-7-23
最后登录
2018-10-3
在线时间
755 小时

论坛元勋奖章特殊贡献勋章4st TeAm成员土豪勋章

发表于 2017-11-3 15:34:02 | 显示全部楼层
发现有人做了 对应教材 http://www.jmpoep.com/thread-3782-1-1.html 地址是这里.
回复 支持 反对

使用道具 举报

458

积分

81

主题

4

精华

高级会员

Rank: 5Rank: 5

违规
0 点
JmPoint
342 点
声望
21 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2017-3-23
最后登录
2018-9-28
在线时间
525 小时
发表于 2017-10-21 14:38:12 | 显示全部楼层
噢,是的,逆向末落了。。
回复 支持 反对

使用道具 举报

13

积分

2

主题

0

精华

普通会员

违规
0 点
JmPoint
387 点
声望
1 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2016-5-27
最后登录
2018-10-15
在线时间
55 小时
发表于 2017-10-23 10:52:15 | 显示全部楼层
顶竹子师傅,
回复 支持 反对

使用道具 举报

20

积分

6

主题

0

精华

普通会员

违规
0 点
JmPoint
397 点
声望
0 点
赏金币
500 枚
发单信誉
1
接单信誉
0
注册时间
2015-7-28
最后登录
2018-10-15
在线时间
44 小时
发表于 2017-10-24 18:09:45 | 显示全部楼层
我是来顶最后一句话的。
回复 支持 反对

使用道具 举报

5

积分

0

主题

0

精华

专家团

Rank: 7Rank: 7Rank: 7

违规
0 点
JmPoint
1233 点
声望
0 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2017-9-6
最后登录
2018-10-16
在线时间
40 小时
发表于 2017-10-26 08:54:17 | 显示全部楼层
本帖最后由 ZeNiX 于 2017-10-26 08:55 编辑

谢谢竹子分享。
看到最后一句,感触很深。。。。
逆向并没有没落,只是大家再也不愿免费为那些【自私的聪明人】效劳。

【只因不法的事增多,許多人的愛心才漸漸冷淡了。】
回复 支持 反对

使用道具 举报

8

积分

2

主题

0

精华

普通会员

违规
0 点
JmPoint
28 点
声望
0 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2017-2-25
最后登录
2018-10-14
在线时间
85 小时
发表于 2017-12-3 13:00:17 | 显示全部楼层
断人财路了
回复 支持 反对

使用道具 举报

*滑动验证:
您需要登录后才可以回帖 登录 | 立即加入

本版积分规则

关闭

站长推荐上一条 /2 下一条

QQ|Archiver|手机版|小黑屋|零日安全论坛 ( 吉ICP备15004039号 ) 点击这里给我发消息

GMT+8, 2018-10-19 05:10 , Processed in 0.108201 second(s), 34 queries .

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表