由於JOHNSON已被],故以C-pen代替,感x看雪,dr0,lijj的P心.我以Windows
Commander 4.5槔,4.51差不多吧:
(1) :Aspack旱,用Trw2000下PNEWSEC再下MakePE即可
(2) CRC Check:程式一旦被Loader或中噌,即J楸徊《靖腥徑Y束程式, @是防跟的手段,我可用反向Trace法即下Bpx
MessageBoxA去r那 警告息,返回後找可跳^此息的JMP;我找到:
:004DF1D7 SUB EAX,00000536 <--CRC出erEAX=536
:004DF1DC JZ 004DF4F5 <--跳至MessgeBoxA
:004DF1E2 JMP 004DF937 ß跳至正常程式
如此只要004DF1DC JZ 004DF4F5 改NOP即可,但是如此程式是
Y束,因檫有一zy:
:004E8171 MOV EAX,[00534048] <--取CRC flag
:004E8176 SUB EAX,000023B9 <--正_值23B9
:004E817B JZ 004E8171 <--若正_即跳S
:004E817D MOV EAX,00000001 <--否tEAXx值1
:004E8182 CALL 004044E4 <--CALLx_程式
:004E8187 CALL 004498E0 <--正常絛諧淌
因此只要再004E817B JZ 004E8187改jmp即可瓦解程式的CRC Check
(3)NagBOX:未]園嬗辛釗擻的NagBox,我把它拿掉,用fimon分析,lF
它DxWincmd.key@Keyfile(其有的知道@wf版_始就是用Keyfile保o)故我假照Wincmd.key@n,@版的正_字元
1024Byts,下bpx createfilea do “d *(esp+4)”和bpx Readfile,程式首先
x你的Keyfile是否80h,若是它霈F你的Keyfile是f版的息,其只要不是80h你淼:
:004CDF0A LEA EDX,[EBP+FFFFF6D4]
:004CDF10 MOV ECX,00000068
:004CDF15 MOV EAX,[EBP-0118]
:004CDF1B CALL 004C9C0C
…………….略…………………….
以上一大串的程式是做Keyfile取雍娃DQ的工作,有a心和毅力的人可以看看,我可]有,按F10Trace淼:
:004CDFBF CALL 00402A0C <--Keyfile比
:004CDFC4 JZ 004CE078 <--正_rJMP,先下R fl Z跳^
:004CDFCA XOR EBX,EBX <--EBX在此之前1,一旦被清掉就是未]園
^mTrace直到:
:004CE3DA CALL 00402A0C <--再比σ淮
:004CE3DF JZ 004CE3E3 <--等於0跳至Good-Guy
:004CE3E1 XOR EBX,EBX <--清掉EBX,Bad-Guy
.
.
:004CE404 MOV [0053E6B8],BL <--[0053E6B8]x值1橐言]
[後]:改法很清楚了,只是@悠屏酥嵩讜]雜息幸淮蠖ya那是因槲]去分析Keyfile,若你看著K眼可去分析Keyfile去@示你要的]雜息,或者去找印出@些字擁牡胤,它是push
xxxxxxxx Call xxxxxxxx
只要它鬟f值0就不〕鱟,或是用SMC它@示你要的字,由於我不用@w,所以後面的工作我]有做,故o法跟你分享,在抱歉
希望你g!若有}可和我j:My E-mail:f41400@ms39.hinet.net
JOHNSON from Taiwan