( 沪ICP备号 )
Powered by Discuz! X3.2
Comsenz Inc.【原创】双色球霸主V3.21破解要点 [文字模式]
- 看雪安全论坛
查看完整版本 :
longs这几天没事就破这个软件了，顺便温习了一下8086汇编。简单的说一下破解要点，有兴趣的朋友练练吧。
&关键点1&：注册标志
call 0520看,子程序入口就在下边
jmp 15F2注册过程结束，跳出。
* Referenced by a CALL at Addresses:
|:A, :0001.94BC, :
:E803E7F0801
cmp byte ptr cs:[087F], 01
子程序入口，判断是否为1
jne 0529 ;等于0则进入注册过程
等于1就直接返回，跳过注册过程。
说明：cs:[087F]的内容就是判断注册是否成功的标志，等于0表明未注册，等于1表示已经注册。
&关键点2&:防修改子程序
有些人看完关键点1就急着爆破，你会发现你死的很难看~~~软件中有防修改子程序，你只要一改代码，就会死机!!!防修改子程序在这里：
* Referenced by a CALL at Addresses:
|:, :, :E, :, :
lea si, [159A]
lea cx, [163A]
: 8D36B5B8
lea si, [B8B5]
: 8D0E05B9
lea cx, [B905]
:0001.13AB 8D361A47
lea si, [471A]
:0001.13AF 8D0E4947
lea cx, [4749]
: 8D369513
lea si, [1395]
:0001.13BA 8D0EBF14
lea cx, [14BF]
:0001.13BE E86011
: 8D364E04
lea si, [044E]
: 8D0E2905
lea cx, [0529]
看，[044E]－[0529]之间的代码有防修改措施。
:0001.13CC 8D36620D
lea si, [0D62]
: 8D0EEB0D
lea cx, [0DEB]
: 8D367403
lea si, [0374]
:0001.13DB 8D0EEE03
lea cx, [03EE]
:0001.13DF E85F11
: 8D367607
lea si, [0776]
: 8D0EEF07
lea cx, [07EF]
:0001.13EA E84411
:0001.13ED 8D365C0C
lea si, [0C5C]
: 8D0EE40C
lea cx, [0CE4]
: 8D366DB8
lea si, [B86D]
:0001.13FC 8D0E7BB8
lea cx, [B87B]
lea si, [604C]
lea cx, [606A]
lea si, [D356]
lea cx, [D360]
lea si, [0BC6]
lea cx, [0BE3]
lea si, [67A4]
lea cx, [680C]
lea si, [B6EA]
lea cx, [B6FA]
lea si, [032C]
lea cx, [0344]
lea si, [462D]
lea cx, [4640]
看到了吧，程序的关键之处都被做了防修改处理。这段子程序入口参数和返回是BX和DX，有5处地方调用这一子程序。解决办法：在每个调用的代码处计算出BX和DX的正确值，在调用前直接赋给BX和DX，然后NOP掉调用这段子程序的代码，就能避开防修改措施了。
&关键点3&：多处注册码判断。
以上两个关键点已经基本解决问题了，但还有一个小问题：软件在运行过程中还有几次判断注册码正确与否的过程，发现计算结果有误，就立即让cs:[087F]为0，代码在这里：
lea si, [087F]
:C C7040000
mov word ptr [si], 0000
mov word ptr [si+02], 0000
mov word ptr [si+04], 0000
还有几个把[087F]置0的代码段，有些可能执行不到。为了保险起见，把所有让[087F]为0的代码统统NOP掉，免得爆破不干净。注意：必须先完成关键点2的工作，因为这几处都做了防修改处理。
&关键点 4&:最后要提醒一下，软件中有几处功能都必须注册才能使用，判断注册成功的依据是：
[087F]=01,[0880]=0A,[82]=1E,[84]=32,[0885]=3C
是这段代码计算出来的:
: 2EA07F08
mov al, cs:[087F]
mov ah, 0A
:0001.15FA 2EA28008
mov byte ptr cs:[0880], al
:0001.15FE 2EA07F08
mov al, cs:[087F]
mov ah, 14
mov byte ptr cs:[0881], al
mov al, cs:[087F]
mov ah, 1E
mov byte ptr cs:[0882], al
mov al, cs:[087F]
mov ah, 28
mov byte ptr cs:[0883], al
mov al, cs:[087F]
mov ah, 32
mov byte ptr cs:[0884], al
mov al, cs:[087F]
mov ah, 3C
mov byte ptr cs:[0885], al
这个软件保护措施的特点是:
1 代码几乎全是明码,虽然有几处花指令,有几处代码变换,但对静态反汇编的结果影响不大.
2 有一处大循环、多出口的反跟踪代码段。由于入口、出口处的代码都没有加密，所以通过对静态反汇编的代码简单研究一下，不难找到出口。
3 有代码防修改机制。如何找到这个防修改的代码段？方法还是有一些的，留给大家研究吧，呵呵。因为我找到这个代码段比较偶然，事后想想有捷径可走，但没有走过，所以不能乱讲，要实事求是嘛。
最后说明一下，本人破解功力一般，本来想请CCDEBUGER版主帮忙破解一下，但出于各种不可抗拒的原因，只好硬着头皮自已上了，现在爆破成功，但发现写注册机有点儿困难，现在我还在研究。我从来没有写过注册机，都就爆破了事，不思进取，希望拿这个软件做个练习，成不成无所谓，就当是学习汇编了，呵呵。
双色球霸主V3.21破解完毕.还有什么不明白的地方请留言讨论.
5月27日，解决了一个暗桩，去掉暗桩后，经测试运行正常。
这个暗桩已经自己解决！！！
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
cmp al, 3C出现暗桩的地方，al=3C
je 6798“保存选号结果”子功能入口
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
lea si, [B4C5]
mov cs:[3189], si
cmp ax, 0000
cmp dx, 0000
:0001.67AC 7503
:0001.67AE E9D7C0
* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:(C), :0001.67AC(C)
: 2E803E85083C
cmp byte ptr cs:[0885], 3C ;注册成功？
je 67C6注册成功跳转
: 2EC706A6DA2100
mov word ptr cs:[DAA6], 0021
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
: 2E803EA93100
cmp byte ptr cs:[31A9], 00
:0001.67CC 7409
:0001.67CE 2EC706A6DA2300
mov word ptr cs:[DAA6], 0023
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0001.67CC(C)
: 2E803EC50B50
cmp byte ptr cs:[0BC5], 50 ;暗桩！！
:0001.67DD 7418
je 67F7 ;相等则跳转到正确处
:0001.67DF E8929B
call 0374否则死翘翘~~~
: 2EA1EEFA
mov ax, word ptr cs:[FAEE]
mov ds, ax
mov ax, word ptr [0006]
:0001.67EB 0E
:0001.67EC 1F
:0001.67ED 2E3B06F503
cmp ax, cs:[03F5]
* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:0001.67DD(C), :(C)
: 2EA1A6DA
mov ax, word ptr cs:[DAA6]
:0001.67FB 2EA2BACB
mov byte ptr cs:[CBBA], al
:0001.67FF 2EC60652CC47
mov byte ptr cs:[CC52], 47
:EC706A6DA0100
mov word ptr cs:[DAA6], 0001
:E8B368B31
mov si, cs:[318B]
lea si, [00D0]
:E89368B31
mov cs:[318B], si
mov byte ptr cs:[318E], 01
就是这个暗桩搞的鬼！！在运行到保存选号结果这一子功能程序段时，软件再次判断注册是否成功，即cmp byte ptr cs:[0BC5], 50，等于50则表示注册成功。查看原来的破解，此处值是0，难怪会死翘翘~~~~别忙着改代码，再看防修改子程序，这段程序也被保护，不能修改，所以只能在其它未做保护的地方写上mov byte ptr cs:[0BC5], 50 。
---------------------以下给出完整爆破方案，供参考------------------
*****修改1*****
* Referenced by a CALL at Addresses:
|:A, :0001.94BC, :
:E803E7F0801
cmp byte ptr cs:[087F], 01
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
mov ax, word ptr cs:[0879]
:E8B1E7B08
mov bx, cs:[087B]
mov dx, 01E0
:E2B167D08
sub dx, cs:[087D]
:E2B167B08
sub dx, cs:[087B]
* Referenced by a CALL at Addresses:
|:A, :0001.94BC, :
:E803E7F0801
cmp byte ptr cs:[087F], 01
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
mov byte ptr cs:[087F], 01 ; 置成功标志
:EC606C50B50
mov byte ptr cs:[0BC5], 50 ; 置暗桩标志
直接返回，跳过注册过程
add [162B], bp
:E2B167B08
sub dx, cs:[087B]
*****修改2*****
cmp al, 4D
lea si, [087F]
mov bx, 0000
mov cx, 0003
add bx, ax
cmp bx, 0000
mov ax, word ptr cs:[03F7]
mov dh, ah
mov byte ptr cs:[0C54], 01
mov ah, dl
mov dh, al
mov byte ptr cs:[0C54], 01
mov al , dl
:E03067A12
add ax, cs:[127A]
:E3306EF03
xor ax, cs:[03EF]
:E3B06550C
cmp ax, cs:[0C55]
lea si, [087F]
:C C7040000
mov word ptr [si], 0000
mov word ptr [si+02], 0000
mov word ptr [si+04], 0000
* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:0001.5FED(C), :(U)
cmp al, 4D
lea si, [087F]
mov bx, 0000
mov cx, 0003
add bx, ax
cmp bx, 0000
jmp 606D此处直接跳过暗桩！！
mov ax, word ptr cs:[03F7]
mov dh, ah
mov byte ptr cs:[0C54], 01
mov ah, dl
mov dh, al
mov byte ptr cs:[0C54], 01
mov al , dl
:E03067A12
add ax, cs:[127A]
:E3306EF03
xor ax, cs:[03EF]
:E3B06550C
cmp ax, cs:[0C55]
lea si, [087F]
:C C7040000
mov word ptr [si], 0000
mov word ptr [si+02], 0000
mov word ptr [si+04], 0000
以上就是爆破的全过程。请大家自行修改吧，我已经换了M种N台电脑进行了测试，一切正常，感觉破解的比较完美，至今还未发现暗桩，如果哪位朋友发现暗桩了，请在此留言，不胜感谢！！
紫色缘支持:D: :D:
canmd学习:eek: :eek:
kwzlj学习！！谢谢！
acafeel不错，偶也要下来试试。。。:):
jinghua我想要破解版的软件，楼主可否提供？？！
longs最初由 jinghua 发布
我想要破解版的软件，楼主可否提供？？！
这里好象只讨论技术啊~~~~~破解方法已经给出来了,剩下的工作只是修改代码,没什么技术含量啊
cnnets呵呵,可能人家以为没人破非PE格式的东东吧.界面太落后了.
qfejj缩什么水，我用它选号连个5块钱的都没中过，反而放了我不少血。
longs最初由 qfejj 发布
缩什么水，我用它选号连个5块钱的都没中过，反而放了我不少血。
呵呵，只谈破解技术，是否管用看各人运气了~~~~
大小子你还是要加强学习，远没有达到计算注册码的地方。我不喜欢爆破的软件。
无所谓了偶也学习一下～～:D:
longs最初由 大小子 发布
你还是要加强学习，远没有达到计算注册码的地方。我不喜欢爆破的软件。
是没有达到注册码的地方,因为爆破的时候把注册过程整个跳过去了.
注册过程我分析了一下,机器码生成的算法搞出来了,但如何算出注册码还是搞不定,最近看了论坛一些关于密码学方面的知识,才知道自已在这方面是一片空白~~~所以最近准备弄本密码学的课本啃一啃~~~~
我也不喜欢爆破啊,无奈功力太低,这两天我就发现一个问题:爆破之后,我在单位的两种型号四五台电脑上运行测试了一下,都还算正常,就是到家里电脑上测试时,运行到保存文件那一步,就出现非法指令了,可是在单位的好几台电脑上都可以正确执行啊,我晕~~~~~
dotnetcrk难道还有暗桩？？？
wyuu这软件也要到进头了，注册算法早就有人搞出来了，11楼的不就说明了吗？做爆破版本来就是有缺陷的，他的数据更新，对软件也有效验的，所以说做爆破版很快就不可以用了，这软件都很快的，对于新手还是不错的学习软件，好了，我也学习下，谢谢 longs 的文章，希望早日看到他的算法分析。
大小子这个软件本人在前年时候就已破出来了。本来我要写出计算注册码的过程，可是后来发现写出真的是太伤脑筋了，又要别人看得懂。后来还是放弃了。
longs楼上的高人,把算法过程与出来啊.
另外,你说的两年前的那个版本,不知道跟现在这个版本是否一样,原来CCDEBUGER版主那个3.18教程,我参照着看了看,跟现在这个3.21的大不一样,因为我对加密算法之类完全没有概念,所以只想利用软件本身的子程序搞出注册机,但也没有成功,所以只好爆破了~~~~~~~
只是我非常奇怪的是,我破解后,在单位电脑上完全可以正常使用所有功能,更新数据都没问题,但就是在家里这台电脑上出错.出错提示见下:(不能贴图,只好打出来了)
NTVDM CPU 遇到无效的指令.
OP:0f 07 07 07 07 选择关闭终止应用程序.
请高手解答这是什么意思???为什么有的电脑上会出现,有的电脑上运行很正常??我现在只能在单位的电脑上用,郁闷~~~~~~~~
longs最初由 longs 发布
楼上的高人,把算法过程与出来啊.
另外,你说的两年前的那个版本,不知道跟现在这个版本是否一样,原来CCDEBUGER版主那个3.18教程,我参照着看了看,跟现在这个3.21的大不一样,因为我对加密算法之类完全没有概念,所以只想利用软件本身的子程序搞出注册机,但也没有成功,所以只好爆破了~~~~~~~
只是我非常奇怪的是,我破解后,在单位电脑上完全可以正常使用所有功能,更新数据都没问题,但就是在家里这台电脑上出错.出错提示见下:(不能贴图,只好打出来了)
这个暗桩已经自己解决！！！
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
cmp al, 3C出现暗桩的地方，al=3C
je 6798“保存选号结果”子功能入口
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
lea si, [B4C5]
mov cs:[3189], si
cmp ax, 0000
cmp dx, 0000
:0001.67AC 7503
:0001.67AE E9D7C0
* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:(C), :0001.67AC(C)
: 2E803E85083C
cmp byte ptr cs:[0885], 3C ;注册成功？
je 67C6注册成功跳转
: 2EC706A6DA2100
mov word ptr cs:[DAA6], 0021
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
: 2E803EA93100
cmp byte ptr cs:[31A9], 00
:0001.67CC 7409
:0001.67CE 2EC706A6DA2300
mov word ptr cs:[DAA6], 0023
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0001.67CC(C)
: 2E803EC50B50
cmp byte ptr cs:[0BC5], 50 ;暗桩！！
:0001.67DD 7418
je 67F7 ;相等则跳转到正确处
:0001.67DF E8929B
call 0374否则死翘翘~~~
: 2EA1EEFA
mov ax, word ptr cs:[FAEE]
mov ds, ax
mov ax, word ptr [0006]
:0001.67EB 0E
:0001.67EC 1F
:0001.67ED 2E3B06F503
cmp ax, cs:[03F5]
* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:0001.67DD(C), :(C)
: 2EA1A6DA
mov ax, word ptr cs:[DAA6]
:0001.67FB 2EA2BACB
mov byte ptr cs:[CBBA], al
:0001.67FF 2EC60652CC47
mov byte ptr cs:[CC52], 47
:EC706A6DA0100
mov word ptr cs:[DAA6], 0001
:E8B368B31
mov si, cs:[318B]
lea si, [00D0]
:E89368B31
mov cs:[318B], si
mov byte ptr cs:[318E], 01
就是这个暗桩搞的鬼！！在运行到保存选号结果这一子功能程序段时，软件再次判断注册是否成功，即cmp byte ptr cs:[0BC5], 50，等于50则表示注册成功。查看原来的破解，此处值是0，难怪会死翘翘~~~~别忙着改代码，再看防修改子程序，这段程序也被保护，不能修改，所以只能在其它未做保护的地方写上mov byte ptr cs:[0BC5], 50 ，具体修改方法请看首贴。
blueleaf好，最近在跟排3的，跟算法太费时，暴破对这种防写的没什么经验，看了你这个一下就明白了
longs最初由 blueleaf 发布
好，最近在跟排3的，跟算法太费时，暴破对这种防写的没什么经验，看了你这个一下就明白了
看了一下排3和3D，保护代码部分与双色球完全相同。修改方法也完全相同。
treasurelu到75期就不能添加数据了啊，老大破解彻底啊
dllish适合我等才加入论坛的新手，学习！！
dhlxzzp感觉和楼上一样，看着高人们文章，汗都急出来了，又不能速成！
longs最初由 treasurelu 发布
到75期就不能添加数据了啊，老大破解彻底啊
不会吧??我已经添加了最新数据了，没发现问题啊？
你能把问题详细描述一下吗？
从官方网站上可以下载到最新数据，没必要自己添加啊。
zyhxhw谢谢,学习了!
xxaxx谢谢发贴 学习学习
sway不知道这个软件是否加壳了，用什么加的壳，我怎么不能加载它的进程阿，还望各位大侠指点，谢谢！
kaakaa有双色球大赢家的破解吗？
namegj本人对汇编语言不太懂,
请问是用么软件破解的撒,
请发给我EMAIL:
或者将破解后的软件发过来也行.
本人不胜感激.双色球霸主7.0破解版下载？_百度知道
双色球霸主7.0破解版下载？
提问者采纳
双色球霸主注册码是。\n 注册后会提示，终生支持升级;n 软件属于二次验证，虽有注册码，&#92，但是机器码不一样运行几步也会变成未注册的。感谢您的使用，升级或重装时要用到，注册码不变。&#92，祝您多多中奖;n这是Q号，后续还会有进一步的检测:35!&#92:注册码初步检测通过;r\r&#92，请保存好;n 解决方法就是把机器码修改成和我一样的就可以了;r\r&#92您好
提问者评价
80元，很划算，没有修改机器码直接注册，非常不错
其他类似问题
双色球霸主的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁那位高人可以帮我弄到一个双色球霸主的注册码谢谢号码是_百度知道
那位高人可以帮我弄到一个双色球霸主的注册码谢谢号码是
提问者采纳
4HZJK-3YKWJ-7QWYJ-PINKL-3QYCN
提问者评价
采纳率100%
其他类似问题
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁}