增刊第十期

EBPIG	探索杂志	MHJDQ

	知识共享资源共享资料共享

【制作成员】程式猎人

【发行时间】2000-9-13

【期刊号码】增刊十

【网站地址】http://programhunter.home.china.com

【编辑寄语】

    
    {~._.~} 
     ( Y )  
    ()~*~() 
    (_)-(_)

�今天在这里先祝大家中秋快乐，中秋本是一个合家团聚的日子，可是就有许多同我一样的人在离家千里之外工作或学习，所以在这里向那些没有同家人团聚的人以及所有用户道一声祝福，希望大家快乐。这个增刊的内容吗，就是网友peterchen提出如何进行暴力破解，所以这期就详细介绍如何进行暴力破解的情况。

【目 �� 录】

��&破解心得
	1……暴力破解的方法和技巧	程式猎人
	2……NoteTab Pro Trial 4.81	xiA Qin
	3……PowerZip V5.2	xiA Qin

��%初学天地
��O问题答疑
��4网站介绍
��,杂志信箱

&【破解心得】

           暴力破解的方法和技巧
                          程式猎人
  前几天网友peterchen说，应在杂志中介绍一下暴力破解方面的知识，我想今天就向大家
介绍一下关于这方面的知识和破解经验。这个当然也是我个人的经验，但是对于高手来说应
还有其它方面的经验，如果你认为我的经验不足的话，希望能够来信补充一下。
  现在就开始介绍暴力破解的原理。对于暴力破解通常是无法得到注册码或是注册码的运算
过程太复杂，无法通常计算得到（这里指使用反推法来计算注册码）所以就能够使用修改程
序的方法来破解这个软件，这样通常就是暴力破解。
  现在将使用暴力破解的软件分一下类型，也好让大家来知道如何对不同的软件进行注册码
破解还是暴力破解了。
  1 测试版软件
    这种软件是属于测试使用的，通常无法注册，这样它只有一个time bomb限制，对于破
解它只能使用暴力破解方法了。只要将它的时间炸弹解除就行了。
  2 共享软件中不需要注册码输入的形式
    这种软件是比较成熟的软件，但是作者通常没有使用注册码保护软件，而是仅做一个ti
me bomb，同上面的一样，所以破解就同上面相同了。
  3 共享软件中注册码运算过程过于复杂情况
    这样的软件是作者设计时使用了十分复杂的运算过程，你使用反推无法得到它的注册码
，所以它也只能使用暴力破解才能使用这个软件。
  4 共享软件的提示窗口
   通常这种软件是在开始运行的时候有一个提示窗口，最为可气是有的软件提示窗口有一
定的时间要求，你必要等10秒才能运行这个软件，所以通常破解它就使用暴力破解了。（这
不包括破解出注册码的情况）
  5 共享软件使用key file保护的形?
   对于这种软件来说，通常的解密人是比较难破解的，但是使用暴力破解就相当的轻松了
，你只要找对地方就可以破解它了。
  6 共享软件加壳处理
   这种破解是属于暴力破解中最难的一种了，因为如果你没有脱壳知识的话，你将无法使
用暴力破解来得到这个软件的破解过程。所以对于这种来说，一定好好学习脱壳知识才能对
付这个破解。
  好了，现在就开始通常过例子来介绍如何进行暴力破解了。


        INF-Tool V5.2c
                      程式猎人
简介：一个制作软件安装程序,可以制作非常小巧的安装文件，并且支持Win95/98/NT，
用它所制作出来的文件非常小只有2-3K，而且不需要SETUP.EXE文件，只要点击鼠标右键
选择Install即可，不过你也可以用它制作一个包含SETUP.EXE文件的INF文件包。可生成
一片或多片的ZIP或EXE文件，它使用INI file，可以推出多国语言包装。
追踪：由于这个软件我在装入后它通知我这个软件已经过期了，所以就先解决这个过期的
问题。我刚开始时使用softice来载入它，但是没有将它分析出来，所以又使用w32dasm这
个工具来分析它，使用这个软件来分析这种过期方面的软件是有相当的水平的。所以大家
作为一个解密者一定要有这样一个好的工具。
  
 如下：

:004B3882 D805E04A4B00            fadd dword ptr [004B4AE0]
:004B3888 DB7DC8                  fstp tbyte ptr [ebp-38]
:004B388B 9B                      wait
:004B388C E8D366F5FF              call 00409F64
:004B3891 DB6DC8                  fld tbyte ptr [ebp-38]
:004B3894 DED9                    fcompp
:004B3896 DFE0                    fstsw ax
:004B3898 9E                      sahf
:004B3899 7321                    jnb 004B38BC
:004B389B 6A00                    push 00000000
:004B389D 668B0DE44A4B00          mov cx, word ptr [004B4AE4]
:004B38A4 B202                    mov dl, 02

* Possible StringData Ref from Code Obj ->"This version of INF-Tool Lite "
                                        ->"is outdated."
                                  |
:004B38A6 B8F04A4B00              mov eax, 004B4AF0
:004B38AB E8383BFAFF              call 004573E8
:004B38B0 A180C74C00              mov eax, dword ptr [004CC780]
:004B38B5 8B00                    mov eax, dword ptr [eax]
:004B38B7 E894AAF9FF              call 0044E350

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004B3899(C)
|
:004B38BC C605ADFC4C0000          mov byte ptr [004CFCAD], 00
:004B38C3 C605ACFC4C0000          mov byte ptr [004CFCAC], 00
:004B38CA B201                    mov dl, 01
:004B38CC A120F44000              mov eax, dword ptr [0040F420]
:004B38D1 E8FAF7F4FF              call 004030D0
:004B38D6 898644160000            mov dword ptr [esi+00001644], eax

    你们是否看到了软件过期的字样了吧，向上看有一个可以跳过这里的jne的命令，
估计它就是比较是否过期的地方，但是我们还要确定一下它，将它改之。嘿，果然就是
它，你们一试就知道了。这个软件进入后发现也没有输入注册码的地方，所以破解成
这样就算是破解了。这个软件的破解也是成功了。


                   ********************************
                   *   查找：9E 73 21 6A 00       *
                   *   替换：9E EB 21 6A 00       * 
                   ********************************
  这个软件就是使用暴力方法破解的，现在来分析一下通常如何进行暴力破解的。
  对于暴力破解最好使用W32DASM这种反汇编的软件，为什么呢？这个主要是暴力破解的软
件通常都有一个关于使用时间或使用次数的提示窗口，所以你可以记住那个提示窗口后使用
W32查找相应的语句就可以得到了出错地方，再查找如何避开这个地方的跳跃之处就可以破
解这样的软件了。通常这个就是暴力破解的方法。
  大家好好分析上面的例子，我想暴力破解通常都使用这种方法，具体如何破解我想应当使
用如下几种方法。

  1 调后日期，通常调后一年，这样有时间限制的软件就提示你软件已经过期了，这样大家
就可以通常W32分析或使用TRW或SI来载入分析了。
  2 查找注册表中关键键值，删除掉后提示过期或要求注册等要求，你就可以下手了。
  3 对于有使用次数要求的软件可以查找相应的注册表或文件值，这样也可以破解这个软件
。
  现在在下面给大家介绍的都是使用暴力破解的软件，希望初学者能够从中学到一定的暴力
破解知识了。

标 题:破解实录（四）之 NoteTab Pro Trial 4.81 (3千字)
发信人:xiA Qin
时 间:2000-7-18 16:45:24 
详细信息:

破解实录（四）之 NoteTab Pro Trial 4.81 


软件名称：NoteTab Pro Trial 4.81    -->(30天试用) 
简    介：超级的文字编辑器，除可取代Windows的Notepad外，它可编辑大的文件，在打列
方面也能调整边界、页码等，它亦可读写DOS ASCII and UNIX等格式文件，对HtmL更提供了
多种的工具，可轻易快速的编写。 


作    者：xiA Qin 
级    别：原始社会 
解密日前：2000年7月18日 
解密工具：Trw2000 1.22 
破解目的：学习NAG窗口的去除的破解。(简单) 

说    明： 
        本文是在我的软件破解记录上整理出来的。只作技术交流。如若有纰漏，请各位大
侠多指教！ 



首先将系统的时间调快一个月。 

Ctrl+N进入Trw2000 

下指令bpx createwindowex      //下中断点  

按X键回到桌面运行程序，这时会被Trw2000拦截到。 

下指令bc *                  //清除断点 

下指令pmodule                //直接跳到程序的领空 

按F10来到下面 

015F:0054B240 8B45EC          MOV      EAX,[EBP-14] 
015F:0054B243 8D4DF0          LEA      ECX,[EBP-10] 
015F:0054B246 BA7CB45400      MOV      EDX,0054B47C 
015F:0054B24B E84402F2FF      CALL    0046B494 
015F:0054B250 8B55F0          MOV      EDX,[EBP-10] 
015F:0054B253 A18CDD5400      MOV      EAX,[0054DD8C] 
015F:0054B258 E8DF8BEBFF      CALL    00403E3C 
015F:0054B25D 8B0D8CDD5400    MOV      ECX,[0054DD8C] 
015F:0054B263 8B09            MOV      ECX,[ECX] 
015F:0054B265 B201            MOV      DL,01 
015F:0054B267 A16CDE4600      MOV      EAX,[0046DE6C] 
015F:0054B26C E8EF2FF2FF      CALL    0046E260 
015F:0054B271 8B1538E15400    MOV      EDX,[0054E138] 
015F:0054B277 8902            MOV      [EDX],EAX 
015F:0054B279 33D2            XOR      EDX,EDX 
015F:0054B27B B001            MOV      AL,01 
015F:0054B27D E8AA73FCFF      CALL    0051262C 
015F:0054B282 A110E25400      MOV      EAX,[0054E210] 
015F:0054B287 803800          CMP      BYTE [EAX],00 
015F:0054B28A 751A            JNZ      0054B2A6            
015F:0054B28C E8077FFCFF      CALL    00513198              //关键CALL 

当走到这里时就会弹出试用过期的对话框。 

看看那里可以跳过这里。 

上面0054B28A 751A  JNZ  0054B2A6 好像可以跳过它耶!!!! 

重新下断点bpx 0054b287 

按X键回到桌面运行程序，这时被Trw2000拦截到。 

当光标走到0054B28A 751A  JNZ  0054B2A6 ， 

打入命令 CODE ON  记下指令码 


下指令A  写入汇编代码 
将 0054B28A 751A        JNZ  0054B2A6  
改 0054B28A 741A        JZ  0054B2A6 

好耶！又可以进入程序了，成功了。 



015F:0054B291 84C0            TEST    AL,AL 
015F:0054B293 7411            JZ      0054B2A6 
015F:0054B295 A138E15400      MOV      EAX,[0054E138] 
015F:0054B29A 8B00            MOV      EAX,[EAX] 
015F:0054B29C E8937FEBFF      CALL    00403234 
015F:0054B2A1 E8128AEBFF      CALL    00403CB8 
015F:0054B2A6 A1F8E25400      MOV      EAX,[0054E2F8] 
015F:0054B2AB 8B00            MOV      EAX,[EAX] 
015F:0054B2AD 66BAEDFF        MOV      DX,FFED 
015F:0054B2B1 E8DAB3EEFF      CALL    00436690 
015F:0054B2B6 A110E25400      MOV      EAX,[0054E210] 
015F:0054B2BB 803800          CMP      BYTE [EAX],00 
015F:0054B2BE 740D            JZ      0054B2CD 
015F:0054B2C0 A180E05400      MOV      EAX,[0054E080] 
015F:0054B2C5 C70007000000    MOV      DWORD [EAX],07 
015F:0054B2CB EB5F            JMP      SHORT 0054B32C 
015F:0054B2CD E84AF8FFFF      CALL    0054AB1C 
015F:0054B2D2 A1DCE05400      MOV      EAX,[0054E0DC] 
015F:0054B2D7 8B00            MOV      EAX,[EAX] 
015F:0054B2D9 BA88B45400      MOV      EDX,0054B488 
015F:0054B2DE E875CBEEFF      CALL    00437E58 
015F:0054B2E3 6A11            PUSH    BYTE +11 
015F:0054B2E5 E846C4EBFF      CALL    `USER32!GetAsyncKeyState` 
015F:0054B2EA 6685C0          TEST    AX,AX 
015F:0054B2ED 0F9CC2          SETL    DL 
015F:0054B2F0 A138E15400      MOV      EAX,[0054E138] 
015F:0054B2F5 8B00            MOV      EAX,[EAX] 
015F:0054B2F7 B101            MOV      CL,01 
015F:0054B2F9 E8CA38F2FF      CALL    0046EBC8 



在NotePro.exe用Ultraedt找到 

      75 1A E8 07 7F FC FF 84 
改成  74 1A E8 07 7F FC FF 84 
--------------------------------------------------------------------------------

标 题:菜鸟学破解（七）之 PowerZip V5.2 (3千字)
发信人:xiA Qin
时 间:2000-7-21 9:43:54 
详细信息:

菜鸟学破解（七）之 PowerZip V5.2 


软件名称：PowerZip      -->(60天试用) 
版    本：5.2      
简    介：非常强悍的压缩、解压缩工具，几乎支持所有压缩格式！感觉起来作者似乎是以
WinZip 为蓝本来开发 PowerZip，因为程序介面与使用方法非常的像，而且在文件上按鼠标
右键的pop menu 上也有[Add to Zip]和[Extract to...]的选项，并且亦支持制作 EXE 自
解压缩档。支持格式：ZIP、A、ARJ、TAR、GZ、TGZ、Z、RAR、CAB、LHA、EXE 

作    者：xiA Qin 
级    别：很菜...很菜.... 
解密日前：2000年7月21日 
解密工具：Trw2000 1.22 
破解目的：学习NAG窗口的去除的破解。(简单) 

说    明： 
        本文是在我的软件破解记录上整理出来的。只作技术交流。如若有纰漏，请各位大侠多指教！ 



首先将系统的时间调快60天。 


Ctrl+N进入Trw2000 

下指令bpx createwindowex      //下中断点  

按X键回到桌面运行程序，这时会被Trw2000拦截到。 

下指令bc *                  //清除断点 

下指令pmodule                //直接跳到程序的领空 

按F10来到下面, 

......................... 

015F:00504760  MOV      EDX,[ESP+28] 
015F:00504764  CMP      [EDX-08],EBX 
015F:00504767  JNZ      00504776 
015F:00504769  MOV      ECX,[ESI+20] 
015F:0050476C  PUSH    DWORD 0052133C 
015F:00504771  CALL    `MFC42!ord_00001837` 
015F:00504776  PUSH    EBX 
015F:00504777  PUSH    DWORD 00521330 
015F:0050477C  PUSH    DWORD 00521290 
015F:00504781  MOV      ECX,ESI 
015F:00504783  CALL    `MFC42!ord_00000DC1` 
015F:00504788  TEST    EAX,EAX 
015F:0050478A  JZ      00504790 
015F:0050478C  PUSH    BYTE +03 
015F:0050478E  JMP      SHORT 00504792 
015F:00504790  PUSH    BYTE +05 
015F:00504792  MOV      ECX,[ESI+20] 
015F:00504795  CALL    `MFC42!ord_00001847` 
015F:0050479A  MOV      EAX,[ESI+20] 
015F:0050479D  MOV      EAX,[EAX+20] 
015F:005047A0  PUSH    EAX 
015F:005047A1  CALL    `USER32!UpdateWindow` 
015F:005047A7  MOV      ECX,[ESI+20] 
015F:005047AA  PUSH    BYTE +01 
015F:005047AC  CALL    `MFC42!ord_000009FE` 
015F:005047B1  MOV      ECX,[005218D8] 
015F:005047B7  CMP      BYTE [ECX+E9],44 
015F:005047BE  JZ      NEAR 00504871                    //这里可以跳过下面的CALL,我改。 
015F:005047C4  CALL    `DTUTIL!?DT_GetEvalDay@@YGIXZ` 
015F:005047CA  CMP      EAX,BYTE +0A 
015F:005047CD  JNA      NEAR 00504871 
015F:005047D3  LEA      ECX,[ESP+3C] 
015F:005047D7  CALL    `MFC42!ord_000009D2`              //时间过期对话框 

当走到这里时就会弹出试用过期的对话框。 

看看那里可以跳过这里。 

上面005047BE  JZ  NEAR 00504871 好像可以跳过它耶!!!! 

重新下断点bpx 005047B7 

按X键回到桌面运行程序，这时被Trw2000拦截到。 

当光标走到005047BE  JZ    NEAR 00504871 

打入命令 CODE ON  记下指令码 


下指令A  写入汇编代码 
将015F:005047BE  JZ        NEAR 00504871 

改015F:005047BE  JNZ      NEAR 00504871 

好耶！又可以进入程序了，成功了。 


015F:005047DC  CMP      EAX,BYTE +0A 
015F:005047DF  JZ      NEAR 00504871 
015F:005047E5  LEA      ECX,[ESP+14] 
015F:005047E9  MOV      [ESP+0310],BL 
015F:005047F0  CALL    `MFC42!ord_00000269` 
015F:005047F5  LEA      ECX,[ESP+02FC] 
........................... 


整里一下，用Ultraedt打开PowerZip.exe 

找到OF 84 AD 00 00 00 

改成0F 85 AD 00 00 00 

重新运行程序试一试。 
--------------------------------------------------------------------------------

%【初学天地】

O【问题答疑】

4【网站介绍】

,【杂志信箱】

投稿信箱：discoveredit@china.com

答疑信箱：discoveranswer@china.com

斑竹信箱：programhunter@china.com