0x01 准备
1.OD
2.豪迪2015:)
3.按钮事件脚本
0x02 去除暗桩
将破解了的版本载入OD
运行按钮事件脚本
点击断点查看,可以看到按钮断点时间,什么使按钮断点,就是程序上有按钮你点击之后就会触发这个事件
让这个软件运行起来,点击插入其他,发现此时OD停在了按钮触发的函数上
之后查看断点,将这个断点去禁止掉,然后继续运行(为什么要这样,因为按钮下面还有一个按钮,不然你点击不了下面的按钮)
重新运行一下,这个时候能点击插入随机数字的按钮了,这里点击什么都可以,都会触发这个暗桩,这里点击插入随机数字
这里就使暗桩的入口点函数,下面让我们来去除他,这里的暗桩使用的是md5的效验(重启的时候获取文件的md5的值,之后与储存在文件中的原来的md5的值进行比较)
之后将所有的断点全部禁止,因为找到暗桩了,所以不需要其他断点了
之后将这个地方下断点,就是插入随机数字的地方下按钮,因为刚才把断点都禁止了,这里就留一个这个断点
之后F7进入上面图的call之后,在第二个call之后按F7进入
此时进入了第二个call,向下单步执行
到达这个地方之后,进入这个call
可以看到4b1f74这个断点,下面就是验证md5的效验,我们需要把下面这一个部分更改掉(至于为什么是在这个地方,是因为小生我怕怕它是直接找到的,过程我没看清,之后通过堆栈跟踪,才把这个路径找到的,一堆call看了眼都花了)
之后详细的更改过程我就直接截改完的版本了,首先在程序中搜索一处空白的地方,我的就是从56B0A0这个地方开始写到56B0DB这个地址,作用是将内存中的md5值改变为原来的md5值,使暗桩验证失效
之后将4B1F74这个地址改为jmp 0056B0A0,就是刚才写的程序的地方,其他地方不要改
对比一下去除暗桩前和去除暗桩后的图片
