今天逛论坛的时候看到了几个破解木马克星的帖子,但是大多数都是破解后只能注册不能升级。这样的阉割版本用起来就不爽,我决定去破一下,于是就有了本文。
下载,安装,这些简单的步骤就不说了,相信读者都可以自行解决。
打开木马克星主界面,如图1。
我们尝试注册下,点击顶部的“注册”——“注册”,然后在注册框里随便填写注册码和密码,再确定,提示“注册失败”,如图2。
退出木马克星,打开PEID,查壳,发现是ASProtect 2.1x SKE -> Alexey Solodovnikov,如图3
这个壳手工脱起来比较麻烦,我又是菜鸟一只,就只好用脚本脱了。
打开OD,载入木马克星的主程序,然后依次点击“插件”——“ODbgSript”——“Run Script”——“Open”,如图4
在弹出的框了选上“Aspr2.XX_unpacker_v1.0SC.osc”这个脚本文件,如图5
按“确定”后,OD会自动分析。然后会出现如图6的消息框,我们按“确定”。
然后依次点击“查看”——“记录”,然后把弹出的框拉到最底部,就会出现如图7所示的画面。
这是我们运行木马克星主程序,然后把它最小化,再打开Import REC,在进程里选中木马克星的主程序iparmor.exe,如图8所示
然后回到OD,在刚刚的记录里找到克星的OEP,RAV和大小,他们分别对应的是“OEP的相对地址”,“IAT的相对地址”和“IAT的大小”,分别把他们填入Import REC里面,如图8
然后按“获取输入表”,等Import REC停下来后再按“修复抓取文件”,在弹出的保存框里选上de_Iparmor.exe,然后确定,如图9,成功后会出现如图10这样的,如果不成功就会有提示框弹出,那么就要重新来一次了。
退出Import REC后,我们要检验下de_Iparmor_.exe,载入到PEID,发现现在是Borland Delphi 4.0 - 5.0,如图11,并且运行成功,证明我们已经对木马克星的主文件进行脱壳了。
[img]http://www.jzh.me/attachments/month_0810/42008101820345.JPG[/img]
壳脱好了,下面进行的当然是爆破了。
我们打开W32asm,然后载入我们刚刚脱壳的文件de_Iparmor_.exe。还记得我们注册失败时的提示吧?对,就是:“注册失败”。我们点击“PE信息”——“字符串参考”,在搜索框里面填上我们得到的提示“注册失败”,然后点击“搜索”。在得出的结果处双击,然后就会自动跳转到“注册失败”的地方了,如图12
[img]http://www.jzh.me/attachments/month_0810/m2008101820429.JPG[/img]
我们关闭搜索框,然后向上找是什么地方跳转到这里的。很快就找到了,006439FA,如图13,就是这里,
[img]http://www.jzh.me/attachments/month_0810/s2008101820456.JPG[/img]
我们把这个地址记下,然后关闭W32asm,打开OD,载入我们已经脱壳的文件de_Iparmor_.exe。然后点击“L”旁边的按钮,在弹出的框里填上我们得到的地址006439FA,如图14
[img]http://www.jzh.me/attachments/month_0810/p2008101820549.JPG[/img]
确定后OD会自动跳转到006439FA,选中这一行,然后右键依次点击“二进制”——“用NOP填充”,如图15
[img]http://www.jzh.me/attachments/month_0810/z2008101820643.JPG[/img]
然后在右键依次点击“复制到可执行文件”——“所有修改”——“复制全部”,再在弹出框里点击右键“保存文件”即可(我保存名为de_Iparmor_1)。
我们退出OD,运行下我们刚刚保存的de_Iparmor_1.exe,然后注册,嘿嘿,提示注册成功,如图16
[img]http://www.jzh.me/attachments/month_0810/t2008101820752.JPG[/img]
按“确定”后问我是否进行网络认证,按“是”后,提示“认证失败。看到此信息的8小时内请不要再认证,否则会被服务器屏蔽24小时”,如图17
[img]http://www.jzh.me/attachments/month_0810/i2008101820175.JPG[/img]
没办法,接着回到W32asm,载入我们已经破解了注册的文件de_Iparmor_1.exe,查找“认证失败”和“看到此信息的8小时内请不要再认证”,同样也是记下他们的跳转地址,然后关闭W32asm,回到OD里面把他们NOP掉,然后保存文件为de_Iparmor_2.exe。
紧张的时刻来了,我们运行我们刚刚保存的de_Iparmor_2.exe,注册OK,然后认证,也OK了,提示重新启动程序,如图18
[img]http://www.jzh.me/attachments/month_0810/j20081018201752.JPG[/img]
重启后发现提示已认证了,如图19
[img]http://www.jzh.me/attachments/month_0810/n20081018201828.JPG[/img]
我们升级试试。点击“更新”,提示升级成功,重启后病毒库变成今天的病毒库了,如图20
[img]http://www.jzh.me/attachments/month_0810/x2008101820190.JPG[/img]
然后把这个文件名改成Iparmor.exe就可以用快捷方式打开了。
好了,到此我们就完全破解了木马克星了。
微博帐号登录