///////////////////////////////////////////////////////////////////// // // 目標軟件：PECompact // // 軟件版本：1.80 Build 2 // // 官方網(wǎng)站：http://www.CollakeSoftware.com/ // // 軟件授權：共享軟件 // // 操作系統(tǒng)：Win95/98/ME、WinNT/2000 // // 軟件簡介：知名的PE格式文件壓縮工具... // // 軟件保護：PECompact殼保護 // ///////////////////////////////////////////////////////////////////// // // 使用工具：TRW2000 v1.22 娃娃修改版 // (主要用于調(diào)試分析) // // LordPE Armageddon by y0da // (Dump & PE文件分析修改) // // WinHEX v10.4 SR-3 // (用于PE文件的16進制修改) // // Hiew v6.70 // (用于添加SMC代碼) // // Our Brain...:-) // ///////////////////////////////////////////////////////////////////// // // 關于本文：本文主要目的在于教學，研究PECompact殼的分析及多重SMC解 // 密方法...請勿將此教程用于商業(yè)目的。 // // Always Your Best Friend: FiNALSErAPH // // 水平有限，難免疏漏... // // Any Question? // Mail To: FiNALSErAPH@yahoo.com.cn // // 2002-05-10 // ///////////////////////////////////////////////////////////////////// // // 第1步：得到可正確執(zhí)行的脫殼文件(其實只要DUMP就行，沒必要可執(zhí)行) // ///////////////////////////////////////////////////////////////////// 這一步比較簡單，我就不詳細敘述...詳細過程可參看以前的文章。關于OEP可 參看DiKeN的“快速找到PECompact加殼文件的OEP” ///////////////////////////////////////////////////////////////////// // // 第2步：分析脫殼后的文件，找到我們要修改的地方 // // 這里比較有意思的是對于PE文件控件的屏蔽... // // 這是最近研究ViRiLiTY做的破解才注意到的。 // ///////////////////////////////////////////////////////////////////// 對于解決日期限制問題就不多說了，比較簡單。 pec1:004011E9 call sub_40542F pec1:004011EE mov ds:dword_40D69D, eax //返回值是剩余的使用時間 //修改方法是將0040542F的指令變?yōu)閞et pec1:0040542F enter 30h, 0 //MOV b,[0040542F],0C3 ///////////////////////////////////////////////////////////////////// 對于顯示Unregister! 我找到以下關鍵點： pec1:004053A5 push offset aUnregistered ; lpString //->"Unregistered!" //這里的代碼要改為我們想保存自己姓名信息 //的地址。(這個地址可稍后確定) //MOV d,[004053A6],???????? pec1:004053AA push 434h ; nIDDlgItem pec1:004053AF push [ebp hDlg] ; hDlg pec1:004053B2 call SetDlgItemTextA /////////////////////////////////////////////////////////////////////

最新評論