探索杂志第三十二期

EBPIG	6探索杂志6	MHJDQ

	知识共享J资源共享J资料共享

【发行时间】2001-3-16

【期刊号码】第三十二期

【网站地址】http://programhunter.myetang.com

此杂志由程式猎人编辑、制作及发行；杂志可以自由转载、分发和传播；任何个人或团体不得在未经本人授权的情况下修改杂志的外观及内容；杂志的解释权归程式猎人所有。

【编辑寄语】

    
   {~._.~} 
    ( Y )  
   ()~*~() 
   (_)-(_)

当你收到网友那包含着真诚的信时，你的心会如何呢？当你看到你的成果被他人承认的时候，你的心会如何呢？当你得到自己心爱的人时，你的心会如何呢？

前几天收到了网友万春的来信，真的为他而感到骄傲，能有这样一个朋友我自己也知足了。有时朋友不再如何的好，而在于能否理解对方，我在这里向期将要向大家介绍的万春同志说声“谢谢你的理解”。

【目 �� 录】

��&破解心得
	J……SyGate3.0破解文档	万春
	K……Might & Magic 7 1.0 US (Safedisc)	万春
	L……红色警报2(red Alert 2)繁体版正版脱壳解密说明	万春

&【破解心得】

 SyGate3.0破解文档

使用工具
        Softice 3.0
        w32dasm 8.93
破解者:买草帽(wancun@sina.com)
 SyGate3.0是一个很好的代理服务软件，它把可以让用户用一台modem上网共享。这个软
件有31天的使用限制，也有使用次数的限制,几个并且它好象在注册表中写入了一个啥,
反正我重装不能使用，不爽,兄弟们几个在网上想用一个小猫同时在网上神游的感觉才没
几天就要结束了,可不行.得想想办法.看来得跟Sygate公司请个安了.因为这个软件的注册
必须在网上进行，先拨号上网再输入注册码,这个程序跟注册运算相关的,分别是Serial No
有两个输入文本框,还有一个是Registration文本框.我在它们中输入如下
            Serial No:     18181818 41841888
            Registration:  94189418
为啥这样输入,呵呵.我没钱钱去注册呀,他们要这样拨号验证.当然先去给Sygate公司道个
吉祥.(不是小弟舍不得注册的钱钱,不怕各位笑话,我连真的$都没摸过.哪有钱钱去注册嘛.
等二回我手头有$了一定.....恭喜发财!),先礼...而后在Softice的黑脸下面的断点
       bpx hmemcpy
       然后Ctrl+D切回,按注册按钮,断下了
就按F12回到程序空间.程序先把你输入的
东西转换为其相应的16进制表示的有点像BCD码的相应表示。然后再走一会可以看见如下代码:

:0040F1CE 50                      push eax
:0040F1CF 57                      push edi

* Reference To: SgSrvAd.SgSetLicense, Ord:001Fh
                                  |
:0040F1D0 E883490000              Call 00413B58//这个调用就是调用接口函数在SgSrvAd.dll文件中,完成注册
                                               //下面就要进去追注册了!我跳进这个dll去追注册码
:0040F1D5 8BF0                    mov esi, eax
:0040F1D7 8B442424                mov eax, dword ptr [esp+24]
:0040F1DB 85C0                    test eax, eax//返回eax=0就显示注册成功,
:0040F1DD 7479                    je 0040F258
:0040F1DF 3D37FFFFFF              cmp eax, FFFFFF37
:0040F1E4 7533                    jne 0040F219

* Possible Reference to String Resource ID=02000: "SyGate Message"
                                  |
:0040F1E6 68D0070000              push 000007D0
:0040F1EB 8D4C2414                lea ecx, dword ptr [esp+14]
:0040F1EF E83EC90100              call 0042BB32
*********************************************************************************************           
下面就是在dll中的代码部分判断函数在SgSrvAd.dll中的函数SgSetLicense(),里的漫漫走没多久就可以走到
这里了,让我来一点一点的解读它.

* Referenced by a CALL at Addresses:
|:100056A5   , :10009C85   
|
:10005630 53                      push ebx
:10005631 8B5C240C                mov ebx, dword ptr [esp+0C]
:10005635 57                      push edi
:10005636 8B7C240C                mov edi, dword ptr [esp+0C]
:1000563A 53                      push ebx//第一部分输入的字符长度
:1000563B 57                      push edi//这里是输入的serial No第一部分输入转换成相应16进制BCD码
:1000563C E86FFFFFFF              call 100055B0//马上跟进望下边看，这个调用是验证第一部分输入
                                               //的有效性和生成第二部分注册码的
:10005641 83C408                  add esp, 00000008
:10005644 85C0                    test eax, eax//回来后这个要为0才让你一路顺风哈
:10005646 753B                    jne 10005683
:10005648 837C241804              cmp dword ptr [esp+18], 00000004
:1000564D 752C                    jne 1000567B
:1000564F 8B442414                mov eax, dword ptr [esp+14]
:10005653 56                      push esi//Registration部分输入的BCD码转换,94189418
:10005654 53                      push ebx//第一部分输入的字符长度
:10005655 57                      push edi//其内是16进制BCD表示的18181818
:10005656 8B30                    mov esi, dword ptr [eax]
:10005658 E8B3FFFFFF              call 10005610//这个也要跟进你先往下跳哈,遇到ret才回来(生成Registration部分注册码)
:1000565D 83C408                  add esp, 00000008
:10005660 3BC6                    cmp eax, esi//这两个要相等,才行哟,哪个为准?当然是eax中的,它才是真的哟!(esi中的
94189418Sygate不收哈) 
:10005662 5E                      pop esi
:10005663 7516                    jne 1000567B//当然这里可不能跳的哈
:10005665 8B0F                    mov ecx, dword ptr [edi]//还有个机关哟...对18181818这段输入有一个很迷信的要求哈,
Sygate公司制订的哈.
:10005667 BA00000040              mov edx, 40000000//第一部分第一个字符，一定不能大于4(看来Sygate确实有点忌讳的哈
,输入第一个大于4的话它不高兴的哟)，也玩完！！！
:1000566C 81E1000000F0            and ecx, F0000000
:10005672 5F                      pop edi
:10005673 3BD1                    cmp edx, ecx//大于4就是影响S标志
:10005675 5B                      pop ebx
:10005676 1BC0                    sbb eax, eax//这条指令要被S标志影响
:10005678 F7D8                    neg eax//第一个输入字符大于4,就米嘎了
:1000567A C3                      ret



* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:1000564D(C), :10005663(C)
|
:1000567B 5F                      pop edi
:1000567C B802000000              mov eax, 00000002
:10005681 5B                      pop ebx
:10005682 C3                      ret



* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:10005646(C)
|
:10005683 5F                      pop edi
:10005684 B801000000              mov eax, 00000001
:10005689 5B                      pop ebx
:1000568A C3                      ret
/***************************************************************************/
第二部分生成代码区
* Referenced by a CALL at Address:
|:1000563C   
|
:100055B0 837C240808              cmp dword ptr [esp+08], 00000008//第一部分必须为8个字符
:100055B5 7406                    je 100055BD //不跳就玩完
:100055B7 B801000000              mov eax, 00000001//你不相信到了这里返回eax=1就要洗白
:100055BC C3                      ret//知道了把,为啥输入'18181818',第一部分输入必须是8个字符才让
                                     //你过哈



* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:100055B5(C)
|
:100055BD 56                      push esi
:100055BE 8B742408                mov esi, dword ptr [esp+08]
:100055C2 57                      push edi
:100055C3 8B06                    mov eax, dword ptr [esi]//BCD码18181818注册码第一部分
:100055C5 50                      push eax
:100055C6 E805FFFFFF              call 100054D0//生成注册码第二部分，跟进哈
:100055CB 8BC8                    mov ecx, eax//返回值给ecx
:100055CD 83C404                  add esp, 00000004
:100055D0 8BD1                    mov edx, ecx
:100055D2 C1E834                  shr eax, 34
:100055D5 C1EA28                  shr edx, 28
:100055D8 8D0440                  lea eax, dword ptr [eax+2*eax]
:100055DB 8D1492                  lea edx, dword ptr [edx+4*edx]
:100055DE 03C2                    add eax, edx
:100055E0 8BD1                    mov edx, ecx
:100055E2 C1EA1C                  shr edx, 1C
:100055E5 C1E90E                  shr ecx, 0E
:100055E8 8D3C92                  lea edi, dword ptr [edx+4*edx]
:100055EB 8D147A                  lea edx, dword ptr [edx+2*edi]
:100055EE 5F                      pop edi
:100055EF 03C2                    add eax, edx
:100055F1 03C1                    add eax, ecx
:100055F3 8B4E04                  mov ecx, dword ptr [esi+04]//'41841888'
:100055F6 25FFFF0F00              and eax, 000FFFFF//这个值就是第一部分生成的
                                                   //第二部分，一定要等于esi+04
:100055FB 81E1FFFF0F00            and ecx, 000FFFFF
:10005601 2BC1                    sub eax, ecx
:10005603 5E                      pop esi
:10005604 C3                      ret
/*************************************************************************/

* Referenced by a CALL at Address:
|:100055C6   
|
//算法部分:文本的第二部分跟18181818相匹配的注册码就由这里运算得来,你可以把它当做一个黑箱.在这里外
//界输入只有一个18181818,(当然你也可以把它当做一头奶牛,吃的是18181818,挤出的就是......:),其实程序
//在这里做的也就是做的几个异或加上小学就会的四则混合运算拉,我懒!就不分析了哈,有数学兴趣的漫漫看.
:100054D0 8B4C2404                mov ecx, dword ptr [esp+04] \\ BCD 18181818
:100054D4 56                      push esi
:100054D5 8BC1                    mov eax, ecx
:100054D7 3543512400              xor eax, 00245143
:100054DC 0FAFC1                  imul eax, ecx
:100054DF 0FAFC1                  imul eax, ecx
:100054E2 8BD0                    mov edx, eax
:100054E4 C1E20B                  shl edx, 0B
:100054E7 2BD0                    sub edx, eax
:100054E9 8D1492                  lea edx, dword ptr [edx+4*edx]
:100054EC 8D1490                  lea edx, dword ptr [eax+4*edx]
:100054EF 8D1452                  lea edx, dword ptr [edx+2*edx]
:100054F2 8DB450777A0600          lea esi, dword ptr [eax+2*edx+00067A77]
:100054F9 B865A62573              mov eax, 7325A665
:100054FE 0FAFF1                  imul esi, ecx
:10005501 F7E1                    mul ecx
:10005503 0FAFF1                  imul esi, ecx
:10005506 81EE6E1A0000            sub esi, 00001A6E
:1000550C 0FAFF1                  imul esi, ecx
:1000550F C1EA11                  shr edx, 11
:10005512 8BC2                    mov eax, edx
:10005514 C1E008                  shl eax, 08
:10005517 03C2                    add eax, edx
:10005519 8D0440                  lea eax, dword ptr [eax+2*eax]
:1000551C 8D8406B1110000          lea eax, dword ptr [esi+eax+000011B1]\\第二部分挤出来的在eax中
                                                                           
:10005523 5E                      pop esi
:10005524 C3                      ret
/**************************************************************************/
/**************************************************************************/
//第三部分生成代码区
10005610 837C240808              cmp dword ptr [esp+08], 00000008//第二次判断你输入是字符数是8吗?
:10005615 7406                    je 1000561D//这里要跳过去哈,不然.....
:10005617 B801000000              mov eax, 00000001
:1000561C C3                      ret// 呵呵~看来Sygate公司跟我们一样,对这样的吉祥数值8也是喜欢哈
                                     //.但你可不要把代码走到这一行哟!



* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:10005615(C)
|
:1000561D 8B442404                mov eax, dword ptr [esp+04]
:10005621 8B08                    mov ecx, dword ptr [eax]
:10005623 51                      push ecx//根据第一部分生成
10005624 E807FFFFFF               call 10005530//跟进就是生成Registration的算法了哈!
:10005629 83C404                  add esp, 00000004
:1000562C C3                      ret


/***************************************************************************/
//算法部分:文本的第三部分跟18181818相匹配的Registration注册码就由这里运算得来,你可以把它当做一个
//黑箱.在这里外界输入只有一个18181818,(当然你也可以还是把它当做一头奶牛,吃的是18181818,挤出的就是......:),

:10005530 8B4C2404                mov ecx, dword ptr [esp+04]
:10005534 56                      push esi
:10005535 8BC1                    mov eax, ecx//ecx=(BCD码)18181818
:10005537 3545099294              xor eax, 94920945
:1000553C 0FAFC1                  imul eax, ecx
:1000553F 0FAFC1                  imul eax, ecx
:10005542 0FAFC1                  imul eax, ecx
:10005545 0FAFC1                  imul eax, ecx
:10005548 8D14C500000000          lea edx, dword ptr [8*eax+00000000]
:1000554F 2BD0                    sub edx, eax
:10005551 8D1490                  lea edx, dword ptr [eax+4*edx]
:10005554 8DB4D061050000          lea esi, dword ptr [eax+8*edx+00000561]
:1000555B B8CF4D0FC2              mov eax, C20F4DCF
:10005560 F7E1                    mul ecx
:10005562 0FAFF1                  imul esi, ecx
:10005565 8BC1                    mov eax, ecx
:10005567 2BC2                    sub eax, edx
:10005569 D1E8                    shr eax, 1
:1000556B 03C2                    add eax, edx
:1000556D C1E811                  shr eax, 11
:10005570 8BD0                    mov edx, eax
:10005572 C1E204                  shl edx, 04
:10005575 03D0                    add edx, eax
:10005577 8D04D2                  lea eax, dword ptr [edx+8*edx]
:1000557A 8D04C0                  lea eax, dword ptr [eax+8*eax]
:1000557D 03F0                    add esi, eax
:1000557F 0FAFF1                  imul esi, ecx
:10005582 81EE1C82B302            sub esi, 02B3821C
:10005588 0FAFF1                  imul esi, ecx
:1000558B C1E91E                  shr ecx, 1E
:1000558E 81F1FAFAFAFA            xor ecx, FAFAFAFA
:10005594 8D0489                  lea eax, dword ptr [ecx+4*ecx]
:10005597 8D0480                  lea eax, dword ptr [eax+4*eax]
:1000559A 8D0480                  lea eax, dword ptr [eax+4*eax]
:1000559D 8D1480                  lea edx, dword ptr [eax+4*eax]
:100055A0 C1E204                  shl edx, 04
:100055A3 2BD1                    sub edx, ecx
:100055A5 8D8416E3140000          lea eax, dword ptr [esi+edx+000014E3]//挤出来第三部分的就是这个eax的拉!
:100055AC 5E                      pop esi
:100055AD C3                      ret


后记:
      这个软件已经是我很久跟的了,不过它确实很好,现在它的版本也升高了.我这人既笨又懒.新的4.0注册方法
好象是改了,好象不是通过调用dll实现的注册码验证的了.我也不敢去追了,在汇编代码森林里真的好可怕.还是
上街去打望的好,呜呜......


#include
#include
#include
#include
#include
#include
char *point,*point1,charstr[100],covert[100],input_no[100],char1;
DWORD number,i,first,second,third,random;

void main(void)
{   printf("SyGate 3.0 proxy registry http://www.sygate.com \n");
    printf("crack by:machoman\n");
	printf("please input number \n");
	scanf("%s",charstr);
	getchar();
	strcpy(input_no,charstr);
/*********************************************************************************/
//这部分C是把输入的转换成对应的类BCD表示，如果输入'18181818'把它转换为一个DWORD的0x18181818
	number=lstrlen(input_no);
            if(number<8)
		{printf("the  input number  can 't lower 8 NULL\n");
		  return;
                }
	     point=&char1;
	    random=rand();	  
	 for(i=0;i<8;i++)
		{    
			point=&input_no[i];
        if(((*point)<0x30)|(((*point)>0x39)&&((*point)<0x41))|(((*point)>0x5a)&&((*point)<0x61))|
		     ((*point)>0x66)|(((*point)>0x46)&&((*point)<0x61))|(input_no[0]>0x34))
			  {printf("input must area in 0-9,A-F and first character must lower 4");
			   return;
			  }
			  if(*point>=0x30&&*point<=0x39)
			  {*point=*point-0x30;
			    first=first<<4;
				first=first|(*point);

			  }
			  else 
				  if((*point)>=0x41&&(*point)<=0x46)
				  {*point=*point-0x37;
				    first=first<<4;
					first=first|(*point);

				  }
               else 
				   if((*point)>=0x61&&(*point)<=0x66)
				   {*point=*point-0x57;
				     first=first<<4;
					 first=first|(*point);
				   }
                     point1=point1+1;
		}
/*********************************************************************************/
  //这部分汇编代码就是在程序中粘贴过来的，我懒！不想写成C了
	 _asm{    push  eax
		     push  ebx
		     push  ecx
		     push  edx
		     push  esi
		     push  edi
		     push  ebp
             mov ecx, first//(BCD)18181818
             mov eax, ecx
             xor eax, 0x245143
             imul eax, ecx
             imul eax, ecx
             mov edx, eax
             shl edx, 0x0B
             sub edx, eax
             lea edx, dword ptr [edx+4*edx]
             lea edx, dword ptr [eax+4*edx]
             lea edx, dword ptr [edx+2*edx]
             lea esi, dword ptr [eax+2*edx+0x67A77]
             mov eax, 0x7325A665
             imul esi, ecx
             mul ecx
             imul esi, ecx
             sub esi, 0x00001A6E
             imul esi, ecx
             shr edx, 0x11
             mov eax, edx
             shl eax, 0x08
             add eax, edx
             lea eax, dword ptr [eax+2*eax]
             lea eax, dword ptr [esi+eax+0x11B1]
			
			 mov ecx, eax
             mov edx, ecx
             shr eax, 0x34
             shr edx, 0x28
             lea eax, dword ptr [eax+2*eax]
             lea edx, dword ptr [edx+4*edx]
             add eax, edx
             mov edx, ecx
             shr edx, 0x1C
             shr ecx, 0xE
             lea edi, dword ptr [edx+4*edx]
             lea edx, dword ptr [edx+2*edi]
             add eax, edx
             add eax, ecx
             and eax, 0xFFFFF//这个值就是后半部分serial no:的低4位，高4位可为随机数
             mov  second,eax

             mov ecx, first//(BCD)18181818
             mov eax, ecx
             xor eax, 0x94920945
             imul eax, ecx
             imul eax, ecx
             imul eax, ecx
             imul eax, ecx
             lea edx, dword ptr [8*eax+00000000]
             sub edx, eax
             lea edx, dword ptr [eax+4*edx]
             lea esi, dword ptr [eax+8*edx+0x0000561]
             mov eax, 0xC20F4DCF
             mul ecx
             imul esi, ecx
             mov eax, ecx
             sub eax, edx
             shr eax, 1
             add eax, edx
             shr eax, 0x11
             mov edx, eax
             shl edx, 04
             add edx, eax
             lea eax, dword ptr [edx+8*edx]
             lea eax, dword ptr [eax+8*eax]
             add esi, eax
             imul esi, ecx
             sub esi, 0x2B3821C
             imul esi, ecx
             shr ecx, 0x1E
             xor ecx, 0xFAFAFAFA
             lea eax, dword ptr [ecx+4*ecx]
             lea eax, dword ptr [eax+4*eax]
             lea eax, dword ptr [eax+4*eax]
             lea edx, dword ptr [eax+4*eax]
             shl edx, 04
             sub edx, ecx
             lea eax, dword ptr [esi+edx+0x0014E3]
             mov third,eax//这里就是Registration:
             pop ebp
             pop edi
		     pop esi
			 pop edx
			 pop ecx
			 pop ebx
			 pop eax
  	
	}
 printf("output of registry key is:\n");
 printf("Serial No:%x",first);
 printf("-");
 printf("%d0",random);
 printf("%x\n",second);
 printf("Registration:%x\n",third);

  }

解回答 
------------- 
作者: Bug Error 
------------- 
翻译:;买草帽翻译
目标:Might & Magic 7 1.0 US (Safedisc) 
------------- 
使用工具: 
- Soft-Ice 3.23 
- ProcDump 1.5 
- Frog-Sice (躲过防调试保护对soft_ice跟踪的破坏) 
- Sicetool ( soft-ice 补丁和改进的命令支持) 
- HexWorkshop 
- ExeScope 
1)关于ICD 文件 
--------------- 
-首先运行 ProcDump 
-点击 PE Editor 按钮打开"mm7.icd"文件,可以看到 
  (程序的执行的第一条指令的RVA) Entry Point => 000CF9AE 
  (装入的基址)                  Image Base  => 00400000 

-现在,你必须计算指令指针EPI:Entry Point + Image Base => 004cf9ae 

-再点击Sections按钮可以看见如下: 

        Virt. Offset    RAW Size    RAW Offset 

.text      00001000      000DA000      00001000 
.rdata    000DB000      00007000      000DB000 
.data      000E2000      00017000      000E2000 
.rsrc      00B99000      00010000      000F9000 

-要把这些段dump出来,你必须知道它们在内存中开始的地方  
=>段内存中开始的地方这样计算:装入基址(Image Base)+相对偏移(Virtual Offset) 
.text  => 401000 
.rdata => 4db000 
.data  => 4e2000 
.rsrc  => f99000 

-运行 ExeScope, 同时打开"mm7.icd" 
-点击按钮Imports 
-选择 Kernel,计算出有多少个kernel.dll 的api被程序导入:在这里,是96个,用16进制表示为:60h 
-接着,选择User,计算出有多少个api被程序导入:在这里,是33,用16进制表示为:33h 
-你必须转换10进制数为16进制,由于 soft_ice 不喜欢用10进制表示:)) 


2)Dump 关键的段 
--------------------- 

-先让游戏运行 
-等到屏幕切换,按下CTRL+D 
-进入soft_ice,如果你在DPLAYER.dLL的空间,输入BPX FREELIBRARY下断点 
-按F11回到上级调用 
-稍等,你又回到soft-ice 
-再输入 d 4cf9ae 看看这个icd文件在内存中被解密出来了没有.如果没有,就按F5键继续执行,并等待:)) 
-如果这个icd文件被解密了,输入 bc * 清除以前的断点 
-好,这样的话现在你将能dump出所有的段,除了.rdata外都用 pagein 命令 
-在soft_ice中输入: 

pagein 401000 da000 c:\text.bin 
pagein 4e2000 17000 c:\data.bin 
pagein f99000 10000 c:\rsrc.bin 



3)有关 Safedisc的调用 
------------------------ 

-在soft_ice中输入 bpx 4cf9ae 并按下F5键执行 
-我们将得到啥?? 


0177:004cf9ae push ebp 
0177:004cf9af mov ebp, esp 
0177:004cf9b1 push ff 
0177:004cf9b3 push 004de160 
0177:004cf9b8 push 004d311c 
0177:004cf9bd mov eax, fs: [00000000] 
0177:004cf9c3 push eax 
0177:004cf9c4 mov fs: [00000000], esp 
0177:004cf9cb sub esp, 58 
0177:004cf9ce push ebx 
0177:004cf9cf push esi 
0177:004cf9d0 push edi 
0177:004cf9d1 mov [ebp-18], esp 
0177:004cf9d4 call [004db164] => 按 F8键进入这个调用进去跟踪 


- 接着, 你可以看见下面的这些: 

0177:012678e7 pushad 
0177:012678e8 push 0000004b 
0177:012678ed push 00000000 
0177:012678f2 call [01267908]  => 哈哈,这是我们的c-dilla's调用,注意这个地方的东东,你将在下面需要用它:) 
0177:012678f8 add esp, 08 
0177:012678fb popad 
0177:012678fc jump [01267902] 


4)把.RDATA 搬到 .DATA段 
-------------------------- 
-由于 .rdata段是只读的,你必须把这段传存到另外一个段中用M和L命令 
=>M "(段的长度)RAW Size of .rdata + Image Base(装入的基址)" L "(段的长度)Raw Size of .rdata" "(相对偏移)
Virtual Offset of .data + Image Base(装入的基址)" 
-在soft-Ice中,按上面的用法输入 

M 407000 L 7000 4f0000 

5) 选定 .rdata 段的kernel API 
----------------------------- 
-在 soft_ice中,键入: 
R eip 4cf9ae 
. 
a eip 

-现在,写入让调用固定下来: 
4CF9AE pushad 
4CF9AF push ebx 
4CF9B0 push 0      => 0表示kernel导入 means kernel import 
4CF9B2 call [01267908] =>这个地址是你在上面跟踪得来的 
4CF9B8 add esp, 8 
4CF9BB mov edx, 4F0000 =>你把.rdata移动到的地方 
4CF9C0 cmp eax, [edx] 
4CF9C2 je 4cf9ce 
4CF9C4 inc edx 
4CF9C5 cmp edx, 4f7000 
4CF9CB jne 4cf9c0 
4CF9CD int 03 
4CF9CE mov [edx], ecx 
4CF9D0 popad 
4CF9D1 inc ebx 
4CF9D2 cmp ebx, 60 => 60h个kernel api 调用 
4CF9D5 jne 4cf9ae 
4CF9D7 int 03 

6)选定 .rdata 段的 User API 
------------------------------- 
-在 soft_ice中,键入: 
R eip 4cf9ae 
. 
a eip 

-现在,写入让调用固定下来: 

4CF9AE pushad 
4CF9AF push ebx 
4CF9B0 push 01      => 01 表示user导入 
4CF9B2 call [01267908] => 这个地址是你在上面跟踪得来的 
4CF9B8 add esp, 8 
4CF9BB mov edx, 4F0000 => 你把.rdata移动到的地方 
4CF9C0 cmp eax, [edx] 
4CF9C2 je 4cf9ce 
4CF9C4 inc edx 
4CF9C5 cmp edx, 4f7000 
4CF9CB jne 4cf9c0 
4CF9CD int 03 
4CF9CE mov [edx], ecx 
4CF9D0 popad 
4CF9D1 inc ebx 
4CF9D2 cmp ebx, 33 => 33h 个user api 调用 
4CF9D5 jne 4cf9ae 
4CF9D7 int 03 


-现在你将能够dump出.rdata段: 


pagein 4f0000 7000 c:\rdata.bin 


7)重构 EXE文件 
---------------------- 


-现在,你有所有的dump出的段,你必须重构一个新的"mm7.exe"文件 
-复制"mm7.exe"到一个临时目录用dump的全部段 
-把"mm7.icd"改为"mm7.exe"的名字 
-运行Hexworkshop, 去打开"mm7.exe" 
-打开"text.bin" 
-集中在"mm7.exe"然后按ALT + F5 
-键入text段的偏移:1000(定位在代码段的开始) 
-进行编辑,并选择"select block"并键入.text段的长度(Raw Size):da000 
-定位在"text.bin"并转道编辑并选择全部 
-按下CTRL + C键 
-定位在"mm7.exe"并按下CTRL + V 
-同样的方法对rdata,data和rsrc段,按上面的步骤重复做:)) 
-最后保存新的"mm7.exe"文件 



8)重建 PE 
------------------ 
-运行Procdump并点击 "Rebuild PE"按钮 
-找到你刚才重构的"mm7.exe"文件点OK按钮 
-OK,你的ExE被完全搞定了,你破解了safedisc:)) 

9)结束致谢 
------------------ 
-对以下的致意: 
?    KaB00M.........................[ LEADER/CRACKER/CODER      ]    ? ?    Avenger........................
[ LEADER/CRACKER/CODER      ]    ? ?                                                                        ? ?
    sEVanD02K......................[ CO-WEBMASTER              ]    ? ?    SHi............................
[ WEBMASTER/CODER          ]    ? ?    NADA...........................[ HEADCRACKER/CRACKER      ]    ? ?  


  THE WEB........................[ HEADCRACKER/CODER        ]    ? ?                                                                        
? ?    Black Racer....................[ CRACKER/CODER/GFXER      ]    ? ?    Bulletproof....................
[ CRACKER                  ]    ? ?    BugError.......................[ CRACKER                  ]    ? ?   
 DaBrain........................[ CRACKER                  ]    ? ?    fREKAnoiZ......................
[ CRACKER                  ]    ? ?    gZM............................[ CRACKER                  ]    
? ?    kOBoLd.........................[ CRACKER                  ]    ? ?    JTK ?9........................
[ CRACKER                  ]    ? ?    LAP............................[ CRACKER                  ]    ? ?   
 LongFing.......................[ CODER                    ]    ? ?    [-Ghost-]......................
[ GFXER                    ]    ? ?    NEMESIS........................[ CRACKER                  ]    ? ?
    TheRage........................[ CRACKER                  ]    ? ?    Thezor.........................
[ GFXER/GFXER              ]    ? ?    WeaxWeasel.....................[ CRACKER                  ]    
-如果有问题,可以通过e-mail: bugerror@hotmail.com 跟我联系 





Bug Error 来自 TCA

红色警报2(red Alert 2)繁体版正版脱壳解密说明(破SafeDisc2保护) 
破解者:买草帽(wancun@sina.com)
1概述 ： 
      红色警报2是WestWood的新版游戏，它在众多游戏中率先采用了c-dilla公司的光盘保护技术safedic 
2来对其起正版保护。要让游戏在虚拟光驱的环境下能够运行，首先必须模拟或者跳过对光盘保护特征区域 
的调用。根据实际的情况，在red alert 2中并没有把游戏的数据写入保护区域。这样就为我们通过脱去游 
戏的光盘识别部分的判别程序,重构一个不具备判断保护的程序提供了可能。以下的做法就是在以脱壳的基 
础上实现其在虚拟光驱下执行游戏的一种实现方法的操作说明。 

--使用工具 
  - TRW V1.23 (safdisc2的保护部分对softice的防护很周到，就是加补丁也搞死。好在还有TRW) 
  - 天意II0.46测试版(也是一个很新的动态反编译工具，就是现在不太稳定。支持的命令也不太全) 
  - ProcDump 1.6.2  FINAL  VERSION (脱壳工具，用它可以方便的重内存中dump出映像) 
  - W32Dasm Version 8.93 (比较直观的静态反汇编工具) 
  - UltrEdit32 (或者其他的2进制编辑器用来修改程序) 
  - Vitual Driver 2000 v 6.0 虚拟光驱软件(farstone)    
-----具体操作 
---脱壳 
  首先用TRW 1.23 装入该软件的可执行档ra2.exe.程序载入后 ,首先停留在。stext371这个section中代码 
  部分如下： 
016F:0041C1FD  55                  PUSH    EBP//装入停留在这里 
016F:0041C1FE  8BEC                MOV    EBP,ESP 
016F:0041C200  60                  PUSHAD 
016F:0041C201  B87BC24100          MOV    EAX,0041C27B 
016F:0041C206  2DFDC14100          SUB    EAX,0041C1FD 
016F:0041C20B  03057CC24100        ADD    EAX,[0041C27C] 
016F:0041C211  C705FDC14100E9000000 MOV    DWORD PTR [0041C1FD],E9 
016F:0041C21B  A3FEC14100          MOV    DOWRD PTR [0041C1FE],EAX 
016F:0041C220  68C9C04100          PUSH    0041C0C9 
016F:0041C225  68BBC04100          PUSH    0041C0BB 
016F:0041C22A  6809C04100          PUSH    0041C009 
016F:0041C22F  689BC04100          PUSH    0041C09B 
016F:0041C234  A021C04100          MOV    AL,[0041C021] 
016F:0041C239  3C01                CMP    AL,01 
016F:0041C23B  7407                JE      0041C244 
016F:0041C23D  B800000000          MOV    EAX,00 
016F:0041C242  EB03                JMP    0041C247 
016F:0041C244  8B4508              MOV    EAX,[EBP+08] 
016F:0041C247  50                  PUSH    EAX 
016F:0041C248  E833000000          CALL    0041C280//这里就是safedisc2解密代码的入口，按F10跳过 
016F:0041C24D  83C414              ADD    ESP,14 
016F:0041C250  83F800              CMP    EAX,00 
016F:0041C253  741C                JE      0041C271 
当程序过了41c248这个调用后就会弹出一个开始图象，在这个call 41c280中就是safdisc2的关键部分，但现 
在不用去研究它。当按F10走过这里时，程序再单步执行几步会跳出.stext371这个section,来到如下的部分 
这时看看section的情况，已经是在.text的部分了。这就是说程序已经到了无壳时候的部分。该是游戏程序 
的真面目了。 
016F:0040787F  55                  PUSH    EBP//停在这里 
016F:00407880  8BEC                MOV    EBP,ESP 
016F:00407882  6AFF                PUSH    FF 
016F:00407884  6878234100          PUSH    00412378 
016F:00407889  68E4C54000          PUSH    0040C5E4 
016F:0040788E  64A100000000        MOV    EAX,BYTE PTR FS:[00] 
016F:00407894  50                  PUSH    EAX 
016F:00407895  64892500000000      MOV    FS:[00],ESP 
016F:0040789C  83EC58              SUB    ESP,58 
016F:0040789F  53                  PUSH    EBX 
016F:004078A0  56                  PUSH    ESI 
016F:004078A1  57                  PUSH    EDI 
016F:004078A2  8965E8              MOV    [EBP+E8],ESP 
016F:004078A5  FF15DC104100        CALL    [004110DC] 
016F:004078AB  33D2                XOR    EDX,EDX 
016F:004078AD  8AD4                MOV    DL,AH 
016F:004078AF  891518724100        MOV    [00417218],EDX 
016F:004078B5  8BC8                MOV    ECX,EAX 
016F:004078B7  81E1FF000000        ADN    ECX,FF 
016F:004078BD  890D14724100        MOV    [00417214],ECX 
016F:004078C3  C1E108              SHL    ECX,08 
016F:004078C6  03CA                ADD    ECX,EDX 
016F:004078C8  890D10724100        MOV    [00417210],ECX 
当程序在40787f处停下时在TWR1.22中下命令suspend，挂起程序，回到WINDOWS界面，现在我们 
要脱掉程序上面的外壳了。在windows下调出ProcDump 1.6.2  FINAL  VERSION把内存中的影象dump 
出来，打开procdump后再task对话框中可以找到一个ra2.exe的影象，用鼠标选中它，再点鼠标右键 
，在弹出框中选择dump(full)项，然后选一个你指定的文件名保存，我用abd.exe保存，这样就把程 
序的主体部分给分离出来了,这下该是没safedic2调用了。然后执行一下该档碰碰运气，会不会就OK了。 
可惜程序可没这样简单，马上给报非法错误。。就在4078a5处的 call[004110dc]非法错误，这个可是 
大麻烦处。以下的处理全都是为了解决这个问题而采取的。 


-----IMPORT_TABLE导入表的重构  
------第一种情况（你要做 CALL [********]= 转换=> Call Kernel32.dll(或user32.dll)!具体函数） 
  
  只有回到原来的程序重新调试到4078a5,然后跟进去看看，马上就是调用一个外接的文件了，空间已经到了另 
一个程序应该是一个dll文件。看看它都做了些啥，下内存断点bpm esp RW 执行几下后发现程序最后在 
kernel32.dll的空间中停下，想想该是有API调用了。继续发现是对函数Kernel32.dll!GetVersion()的调用， 
这只有一个可能加壳程序把原程序的导入表(IMPORT_TABLE)中的Kernel32函数破坏了。它通过外接的dll用函 
数GetProcAddress来对每个原来的函数导入进行实现，而且把函数的执行也在其中代劳了。这是典型的修改恢 
复导入表的操作。 
  那我就先在程序中找找导入表的位置把，用procdump打开，点中PE Editor按钮发现IMPORT_TABLE的RVA是 
1f000 size 1b8,找到1f000的位置发现导入表的位置全不对！看来程序是把它给隐藏了。而且用W32Dasm反汇 
编也找不到。只有手工找找，根据PE文件的结构，我先在abd.exe中查找字符串"kernel32.dll",在131a4这个 
RVA找到一个，然后再在程序中查找二进制a4 31 01也就是看IMPORT_TABLE的IMAGE_IMPORT_DESCRIPTOR结构里 
有Kernel32.dll这个函数吗，还好，在12ce4处找到。 在我可以先假定IMPROT_TABLE的RVA为12cd8（根据结构 
IMAGE_IMPORT_DESCRIPTOR找到其偏移首址）,先改改看。 
  用procdump打开abd.exe，点中PE Editor按钮,把IMPROT_TABLE的RVA改为12cd8。然后再用W32Dasm 反汇编 
看见FUCTION 按钮的IMPORT已经出来了，可以看见kernel32.dll,user32.dll,GDI32.dll,ADVAPI32.dll, 
Shell32.dll,COMCTL32.dll已经出来了，但可以看见，kernel32.dll,和user32.dll的函数全是空白。这些函 
数看来要我去给找出来了。其他的dll调用都正常了。 
  下面就是找到程序的加密部分进行分析。把程序走过的API进行重构。还是针对第一个出错的地方，在跟进 
的dll空间可以看见以下代码 

016F:004078A5  FF15DC104100        CALL    [004110DC] 切入下面的代码中 
016F:004078AB  33D2                XOR    EDX,EDX 
/*********************************************************************************************/ 
注：程序在下面用了间接Ret 指令的方式代替call调用返回的方式，把调用下一条指令的IP（004078AB)及 
    标志和所有的寄存器保存在堆栈单元中。然后再用改变堆栈的方法切回4078AB,具体实现见下面代码 
    010c6CD7  PUSH DWORD BFEA13B4 
    010c6CDC  PUSHF//保存标志 
    010c6CdD  PUSHA//保存所有的寄存器 
    010c6CDE  PUSH ESP        
    010c6CdF  PUSH DOWRD 10C6D167 
    010c6CE4  CALL 100195F0  //进入~df394b.tmp，其实是个dll文件，F8跟进可发现 
    010c6CE9  ADD ESP BYTE +8//不会到这条指令的，再上一条指令用F10的话就过了！！！！game begin 
    010c6CEC  PUSH  BYTE 00 
    010c6CEE  POP EAX 
    010c6CEF  POPA 
    010c6CF0  POPF 
    010c6CF1  RET        

  走走....到下面........找了好久 在~df394b.tmp中下面的指令中有花指令，静态汇编不可看的到的。这里可 
是关键了，每次导入表重构的必经之路。在这里下断可以看见每个函数的调用过程及返回主程序的方法。 

    0100183c8  SETS [EBP-8] 
    0100183cc  MOV EAX,[EBP-8] 
    0100183cf  AND EAX,0x000000FF 
    0100183d4  TEST EAX,EAX 
    0100183d6  JNZ  0100183e5 //这里通常是要跳的 
    0100183d8  MOV ECX,[0100500E8] 
    0100183df  CALL  Kernel32.dll!SetEvent 
    0100183e5  JMP  SHORT  0100183ee//再1跳 
    0100183e7  MOV EBX,EBX 
    0100183e9  JO  0100183F1 
    0100183eb  NOP 
    0100183ec  JNO  SHORT 0100183f1//再N跳，花指令一直就在跳，这是最后一跳。。 
    0100183ee  JMP 0100183e7//再2跳 
    ...............................花指令 
    0100183f1  MOV ESP,[EBP+0c]//跳到这里水落石出，这里EBP+0c中的就是IP（004078AB)那里压入 
                                //的环境数据 
    0100183f4  POPA//修改标志为4078a5的的状态 
    0100183f5  POPF//修改寄存器4078a5时的状态 
    0100183f6  RET //切入Kernel32.dll中的对应函数中，在这条指令下一条时，堆栈已经指向IP 4078AB 
                    //当程序重Kernel32模块的对应函数返回时，就返回到4078AB回到主程序执行。 
/*********************************************************************************************/ 
说了半天，结果其实这里就是一个API调用，完全可以通过把函数在004078A5  CALL    [004110DC]处的内容 
改为具体的API就可以了，这需要对PE文件的IMPORT_TABLE 的结构了解。你可以发现其实其他的call调用的区 
域跟这个一样，都是在IMAGE_IMPORT_DESCRIPTOR结构的 Kernel32.dll或user32.dll的FirstThunk指象的区域 
你可以发现现在这里的全是通过上面的外接调用实现的，我们要改它其中的内容为内部直接调用，这就要用手 
工了，很麻烦。。首先在程序的.rdata section的末端选择全是00的区域把该函数的hint和名字字符串写入， 
可能你还需要手工在procdump修改.rdata section的Vsize 和Psize为能放下你的所有函数hint和名字串的大 
小我的这个函数导入表的构造方法如下 
第一个断点在4078a5中，其真正的CALL dword ptr [4110dc] ,110dc地址的指针改为1394d,在1394d中有第一 
个函数GetVersion的hint及标示字符（这里是自己加的哟） 
  RVA 110dc------value------>1394d =>  RVA 1394d----------value------->0800GetVersion 
                                                                          ^    ^ 
                                                                      hint Characteris 
                                                                      
这样就构造好了第一个函数Kernel32.dll!GetVersion() 
后面的这种调用如法泡制，可能要重构30几个这样的函数。但可能还是有规律的，要是能找到规律或完整的 
导入表，就不用这样辛苦了。 




------第二钟情况（你要做JMP.stxt774的入口地址==转换=>Call Call Kernel32.dll(或user32.dll)!具体函数) 
    第二种情况通过远跳指令跳到.stxt774的相应入口中。 
第一条花指令切入是函数GetVersionExA,位置在 
409450  jmp 41b12a（跳到。stxt段）  ；这里实际上是  call Kernel32.dll!GetVersionExA，原程序的加 
                            ；密处理可以见后继code程序下面的是花指令，静态反汇编会看不见真正代码 

它在.stxt774 section中的代码如下 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:00409450(U) 
| 
:0041B12A 53                      push ebx 
:0041B12B E800000000              call 0041B130 //这个call的目的只是把IP压栈保存 

* Referenced by a CALL at Address: 
|:0041B12B  
| 
:0041B130 870424                  xchg dword ptr [esp], eax// 
:0041B133 9C                      pushfd  //标志保存 
:0041B134 05D0FEFFFF              add eax, FFFFFED0 
:0041B139 8B18                    mov ebx, dword ptr [eax] 
:0041B13B 6BDB0A                  imul ebx, 0000000A //计算切入dll的位置 
:0041B13E 035804                  add ebx, dword ptr [eax+04] 
:0041B141 9D                      popfd //恢复状态 
:0041B142 58                      pop eax 
:0041B143 871C24                  xchg dword ptr [esp], ebx//切入~df394b.tmp的位置 
:0041B146 C3                      ret//切入 

  
  
  然后可以看见下面的类似代码中 

    010c6CD7  PUSH ***********//409450的下一条指令，可是花指令哟，这里处理很毒的，不看这里的 
                                //话你是不能看见409450的真正的下条指令的情况的。 
    010c6CDC  PUSHF//保存标志 
    010c6CdD  PUSHA//保存所有的寄存器 
    010c6CDE  PUSH ESP        
    010c6CdF  PUSH DOWRD 10C6D167 
    010c6CE4  CALL 100195F0  //进入~df394b.tmp，其实是个dll文件，F8跟进可发现 
    010c6CE9  ADD ESP BYTE +8//不会到这条指令的，再上一条指令用F10的话就过了！！！！game begin 
    010c6CEC  PUSH  BYTE 00 
    010c6CEE  POP EAX 
    010c6CEF  POPA 
    010c6CF0  POPF 
    010c6CF1  RET 

这种情况的修改方法，在程序的相对偏移地址13bd9中加入 3300GetVersionExA 
                                                    ^    ^ 
                                                    hint Characteris 
然后在IMPORT_TABLE区域的空余空间相对偏移地址11184中写入Hint和Characteris的地址首址13bd9即 
Address 411184------value------>13bd9 =>  Address 13bd9----------value------->3300GetVersionExA 
                                                                                ^    ^ 
                                                                                hint Characteris 
然后再动态执行原程序下断点bpx 409450,用a指令动态修改这里的汇编代码 
a 
*****:409450  call near [411184] 
*****:409456  ***********        ;这样原来的指令就还原了，可以看见真正的指令 
记录下程序在该处的16进至数据为 FF1584114100,然后用编辑器在程序中的该位置修改为这几个数据，完成 
对GetVersionExA的重构 。。。。  

-------最后说明 
  用上面的方法一个一个跟踪就可以得到一个完全无壳的可执行文件， 最后在一切搞定后执行的时候一定要把 
原程序的执行目录里的ra2.lcf复制为abd.lcf这样才行。也可以让程序执行了，但过程真的好麻烦要是能够生成 
这些东西就好了。在制作虚拟光碟时用farstone 的制作虚拟光碟制作vcd档选定智慧算法读取，不要用穷读法， 
否则过不了safedisc2的不可读保护，制作完毕后装入就可以不用光盘第顽red  alert 2游戏了