談談VB程式的破解 (5千字)

看雪資料發表於2002-10-28
原文網址 : https://zhuanlan.kanxue.com/article-3716.htm

談談VB程式的破解

有很多人說破解VB程式的利器是SmartCheck,我不敢苟同,因為我一直以為,只要有一個偵錯程式就能完成所有的破解才是我向往的境界.當然這不一定最簡便,但無疑是最有效的.
這次就說說VB程式的破解,當然,我不知道是否有其它可行的途徑,我只知道,透過偵錯程式就能完成一個破解.

示例程式:隨便寫段VB程式碼,然後編譯為本機程式碼(P-Code不在本文的討論範圍之內,我也發現了一些相關的規律,還在研究中)
Private Sub Form_Load()
    If ax = 0 Then
        MsgBox ("hi!")
        End
    Else
        MsgBox ("ok!")
        End
    End If
End Sub

用TR載入
0187:00401166 FF2570104000    JMP      NEAR [00401070]            //從00401171到了這裡.
0187:0040116C 68A0124000      PUSH    DWORD 004012A0            //載入後停在這裡
0187:00401171 E8F0FFFFFF      CALL    `MSVBVM60!ThunRTMain`        //這個Call一定要進入
0187:00401176 0000            ADD      [EAX],AL
0187:00401178 0000            ADD      [EAX],AL
0187:0040117A 0000            ADD      [EAX],AL
......
MSVBVM60!ThunRTMain
0187:6600DE22 55              PUSH    EBP
0187:6600DE23 8BEC            MOV      EBP,ESP
0187:6600DE25 6AFF            PUSH    BYTE -01
0187:6600DE27 6898980166      PUSH    DWORD 66019898
0187:6600DE2C 6871EF0E66      PUSH    DWORD 660EEF71
0187:6600DE31 64A100000000    MOV      EAX,[FS:00]
0187:6600DE37 50              PUSH    EAX
0187:6600DE38 64892500000000  MOV      [FS:00],ESP
0187:6600DE3F 51              PUSH    ECX
0187:6600DE40 51              PUSH    ECX
0187:6600DE41 83EC4C          SUB      ESP,BYTE +4C
0187:6600DE44 53              PUSH    EBX
0187:6600DE45 56              PUSH    ESI
0187:6600DE46 57              PUSH    EDI
0187:6600DE47 8965E8          MOV      [EBP-18],ESP
0187:6600DE4A 8B7508          MOV      ESI,[EBP+08]
0187:6600DE4D 8935DCF71066    MOV      [6610F7DC],ESI
0187:6600DE53 8365FC00        AND      DWORD [EBP-04],BYTE +00
0187:6600DE57 8D45A0          LEA      EAX,[EBP-60]
0187:6600DE5A 50              PUSH    EAX
0187:6600DE5B FF1518110066    CALL    `KERNEL32!GetStartupInfoA`
0187:6600DE61 0FB745D0        MOVZX    EAX,WORD [EBP-30]
0187:6600DE65 A3D8F71066      MOV      [6610F7D8],EAX
0187:6600DE6A FF35CCF61066    PUSH    DWORD [6610F6CC]
0187:6600DE70 56              PUSH    ESI
0187:6600DE71 BE70F41066      MOV      ESI,6610F470
0187:6600DE76 8BCE            MOV      ECX,ESI
0187:6600DE78 E860000000      CALL    6600DEDD            //這個Call一定要進去哦.
......(其實不要看在DLL中轉,其實並不難,很快就可以返回到程式的領空,我的目的就是要在程式執行前進入程式領空)
0187:******** FFD0            CALL    EAX                //最後到了這裡,ok,返回程式領空了哦!
......
0187:0040146C 816C240433000000 SUB      DWORD [ESP+04],33        //停在這裡,這裡已經是程式領空了哦!
0187:00401474 E9B7040000      JMP      00401930            //跳到什麼地方,你看下面吧!
0187:00401479 0000            ADD      [EAX],AL
......
0187:00401930 55              PUSH    EBP                //看看象什麼?是不是和彙編,delphi程式開始的地方一樣啊?我們終於來到VB程式真正開始的地方了.
0187:00401931 8BEC            MOV      EBP,ESP
0187:00401933 83EC0C          SUB      ESP,BYTE +0C
0187:00401936 68A6104000      PUSH    DWORD 004010A6
0187:0040193B 64A100000000    MOV      EAX,[FS:00]
......
0187:00401991 C7458C02800000  MOV      DWORD [EBP-74],8002
0187:00401998 FF1538104000    CALL    `MSVBVM60!__vbaVarTstEq`
0187:0040199E 6685C0          TEST    AX,AX
0187:004019A1 B904000280      MOV      ECX,80020004
0187:004019A6 B80A000000      MOV      EAX,0A
0187:004019AB 894DA4          MOV      [EBP-5C],ECX
0187:004019AE 89459C          MOV      [EBP-64],EAX
0187:004019B1 894DB4          MOV      [EBP-4C],ECX
0187:004019B4 8945AC          MOV      [EBP-54],EAX
0187:004019B7 894DC4          MOV      [EBP-3C],ECX
0187:004019BA 8945BC          MOV      [EBP-44],EAX
0187:004019BD 7443            JZ      00401A02            (NO JUMP)    //知道這裡嗎,就是我程式碼中的判斷,這更加肯定了,在程式程式碼執行以前我就返回程式領空了.
0187:004019BF 8D558C          LEA      EDX,[EBP-74]
0187:004019C2 8D4DCC          LEA      ECX,[EBP-34]
0187:004019C5 C74594F0154000  MOV      DWORD [EBP-6C],004015F0
0187:004019CC C7458C08000000  MOV      DWORD [EBP-74],08
0187:004019D3 FF1574104000    CALL    `MSVBVM60!__vbaVarDup`
0187:004019D9 8D559C          LEA      EDX,[EBP-64]
0187:004019DC 8D45AC          LEA      EAX,[EBP-54]
0187:004019DF 52              PUSH    EDX
0187:004019E0 8D4DBC          LEA      ECX,[EBP-44]
0187:004019E3 50              PUSH    EAX
0187:004019E4 51              PUSH    ECX
0187:004019E5 8D55CC          LEA      EDX,[EBP-34]


後記:
現在很多程式都在程式執行時判斷是否註冊,我相信我找到的這個是個可行的辦法,能夠在程式程式碼開始前進入程式領空.就可以知道它到底幹了些什麼.然後可以爆破或其它.相信很多大蝦都不屑一顧,我想告訴大家的是一個通用的方法.不知道你注意上面的這麼一段了嗎?
0187:******** FFD0            CALL    EAX        //只要每次在這裡下斷,就能把所有的VB程式在執行前斷下來(包括P-code,當然P-code還有更簡單的辦法在程式執行前斷下來),接著就能來到程式開始的地方.程式不就任你魚肉了?
我在幾個VB編寫的程式上試了一下,都能用此法破解成功,例如:沐風網頁三叉戟等.

flyfancy
http://flyfancy.126.com

相關文章