新手破解练习Crackme160之121 - n0p3x.8

1. 脱壳
   程序无法直接运行~ PEiD查看有UPD壳, 用UPD相关脱壳工具都脱壳失败, 所以只能手动脱壳了~
   OD载入程序, 运行直接异常~ 无法在EOP中断点成功~ 异常直接到retn这个现象跟087的一样~ 所以参照087的方法使用OC脱壳(同时还需要从087中复制CW3220.DLL过来, 这个程序也需要用这个dll)
   OC载入程序, F9运行程序, 程序异常停在00401823处, 先记住这个方法入口00401810, 接着在内存的信息显示区向下翻, 直到找到 "返回到 n0p3x_8.xxxxxxx"这行, 翻了好下面才找到这行, 返回到00409175, 代码区找到这行, 是在一个call方法的下一行, 我们在call的上一行下一个断点(0040916F)~ 重新加载程序F9运行到此断点处, 现在先Ctrl+G定位到00401810处下断点(为什么前面不下断点, 这个时候才下呢? 因为程序还没执行到0040916F处时, 00401810处的代码还是乱码, 没有解码, 断点无效), 下好断点后, F9继续运行, 可以正常在断点处停下~ F8执行到下一行, 就是先执行push ebp, 然后点到方法最后pop ebp这行, 右键设为新的EIP跳过中间异常的代码, 这时程序已经可正常运行到popad处了, 所以直接F9继续运行~ 几次F9后正常来到004091CA popad处, F8两次来到解码后的程序入口00401000, 可以看到好多红色代码就是解码后的代码, 右键dump, 直接点dump, 另存~
   运行Import REC, 选择n0p3x.8.exe进程, 将oep修正为1000,点AutoSearch和Get Import看到左边出来了三个dll那就对了, 点Fix Dump, 选择上面另存的文件即可修复成功IAT, 到此脱壳成功~ 运行程序检查运行正常~
    

2. 正常破解
   OD载入脱壳后的程序, 搜索关键词没有, 那就是暂停法, 点checkcd, 弹出错误信息, 这时点暂停, 在线程区域看到弹框调用00401489, 代码区找到对应方法入口0040144C, 在代码区下面的信息预览区域可以看到, 这个入口有10处调用:
   本地调用来自 0040122B, 00401278, 004012DD, 004012FE, 0040134F, 00401387, 004013A2, 004013B8, 004013CD, 004013E2
   我们把这10处都找到对应的方法入口下好断点~ 结果发现全在同一个方法入口0040118B(后记: 后面不小心按了一下退出按钮, 发现也是到这个入口的, eax值是0x66, checkcd的值是0x65), 下好断点~, (再上面应该是消息分发处, 004010A9处会接收所有事件消息), 如果需要暴破的话, 将第一个跳00401191 je 004011B3改为 jmp 00401396直接跳到成功分支就行了, 点击验证按钮, F8单步跟踪分析算法~
   1). 0040121A 程序是否在C盘运行 (系统所在盘, 不一定是C盘)
   2). 0040123A 程序所在盘是否是光盘(3.硬盘, 5.光盘), U盘也是5
   3). 00401266 程序所在盘空间是否为0(光盘一般都是没有剩余空间的)
   4). 004012BB 程序所在盘的卷标是否为"!xus", 文件标志是否为0x10(不可压缩)
   5). 004012EC 程序所在盘文件标志是否不为0x80(压缩卷)
   6). 0040130D 程序所在盘卷标名"Stack", "Overflow" 这两个不知道干嘛的
   7). 00401360 有没有my.dog文件
   按上面的步骤好像很难达到成功的条件, 是不是只能把程序刻录到光盘才行呢~

 
 
 
这是160个软件part1
这是160个软件part2

1~160每个破解过程,在吾爱破解论坛都有高手破解过了,也有整理好现成的, 我这边主要就是自己动手操作的过程,与他们的不太一样
附上高手们的连接: 点击前往查看
使用的工具连接(工具有点多有点大,可以先下OD,其它的后面慢慢下) 点击前往下载

新人入门教程"玩玩破解，写给新人看" 点击前往查看
我就是从这里开始的,对我这样的小白感觉超级友好~

下面是我的OD的界面布局,我觉得这4个是最常用的界面,其它的我基本上没用到~