吾爱破解 培训第五课:反击作者的挑衅--实战解除程序重启验证 笔记
吾爱破解 培训第五课:反击作者的挑衅--实战解除程序重启验证 笔记
《吾爱破解培训第五课:反击作者的挑衅--实战解除程序重启验证》 讲师:我是用户
课件内容
-
熟悉OD字符串插件的使用
Ctrl+F:搜索字符串 -
熟悉OD如何下断点
Ctrl+G:直接断API
Ctrl+N:输入表断API
利用插件 -
熟悉procmon的使用
可以监控文件,注册表,网络,进线程信息
排除进程:ExClude
查看指定进程:Include -
熟悉文件操作API的使用
CreateFileA(W):创建文件
ReadFile:读取文件
WriteFile:写入文件
CloseHandle:关闭句柄
读取文件:CreateFile->ReadFile->CloseHandle
写入文件:CreateFile->WriteFile->CloseHandle -
熟悉注册表操作API的使用
创建注册表Key:RegCreateKey
打开注册表Key:RegOpenKey
查询注册表键值:RegQueryValue(Ex)
写入注册表键值:RegSetValueEx -
什么是重启验证
重启验证顾名思义就是在程序启动时验证注册信息。
-
重启验证的执行流程
基本的执行流程: 注册信息输入-->程序重启-->执行验证机制-->正常执行
扩展的执行流程: 注册信息输入-->执行部分验证机制/执行假验证机制-->程序重启-->执行真验证机制-->正常执行
对于有经验的作者来说,可以在注册信息输入和程序重启之间加入假的验证机制,假的验证机制一般比较简单,比如说只是当单纯的明码比较,当我们输入这个假的注册码的,程序一般会提示注册成功,此时程序就会知道我们是逆向者,在程序重启时就会假装注册成功,在执行程序功能时就会报错或是无反应,这就是所谓的暗桩。 -
重启验证的类型
重启验证根据写入信息位置的不同一般分两类:
-
一类是将注册信息写入文件中;
-
一类是将注册信息写入注册表中;
-
-
如何定位关键代码
- 字符串定位
通过OD字符串插件扫描敏感字符串,一般出现的文件路径或是注册表路径都可能是验证信息的保存位置
2.监控工具定位
通过procmon等监控工具监控注册信息的写入位置
3.API定位
通过定位CreateFile,RegCreateKey等API来获取注册信息的写入位置
- 字符串定位
-
Demo演示(见资源)
重启验证1:写入信息进txt:JXU2MjExJXU2
CreateFile->WriteFile->ReadFile->比较算法重启验证2:写入信息进ini:NjJGJXU3NTI
WritePrivateProfileStringA:写入配置信息
0012F530 00544638 |Section = "验证"
0012F534 00544634 |Key = "Key"
0012F538 001C9578 |String = "987654321"
0012F53C 001D7F70 \FileName = "C:\Users\Administrator\Desktop\52Pojie.ini"GetPrivateProfileStringA:读取配置信息
重启验证3:写入信息进注册表:4JXU2MjM3
课后问题总结答疑
无
课件工具
吾爱破解专用版Ollydbg:http://www.52pojie.cn/thread-350397-1-1.html
论坛专用破解虚拟机:http://www.52pojie.cn/thread-341238-1-1.html
其他工具见爱盘:http://down.52pojie.cn/Tools/
ProcMon:http://down.52pojie.cn/Tools/Anti_Rootkit/
课件资源
360云盘下载:
https://yunpan.360.cn/surl_y3GCKpiI2fX 提取码:7693
百度网盘下载:
链接: https://pan.baidu.com/s/1z9WQeYgUGxcurVD2lKfNeg提取码: e2su
解压密码:
www.52pojie.cn
本文来自博客园,作者:Theseus‘Ship,转载请注明原文链接:https://www.cnblogs.com/yongchao/p/15754687.html
