IT博客-心野的小巢-随笔分类-软件逆向手记

AMESim Rev10下载地址及接口程序破解

心野 — Mon, 28 Feb 2011 10:33:00 GMT

摘要: 阅读全文

心野 2011-02-28 18:33 发表评论

AMESim R9SL1下载地址及接口破解

心野 — Fri, 03 Sep 2010 09:26:00 GMT

摘要: 阅读全文

心野 2010-09-03 17:26 发表评论

AMESim R9A破解补丁(AMESim R9A Crack & Patch)

心野 — Mon, 22 Mar 2010 12:42:00 GMT

摘要: 阅读全文

心野 2010-03-22 20:42 发表评论

机械设计手册（新编软件版）2008破解补丁

心野 — Mon, 29 Sep 2008 14:22:00 GMT

摘要: 阅读全文

心野 2008-09-29 22:22 发表评论

基于.net的破解示例（数独终结者2.2Build2633破解简记）

心野 — Sun, 06 Apr 2008 13:46:00 GMT

摘要: 阅读全文

心野 2008-04-06 21:46 发表评论

AMESim ReV7.0a正常运行破解补丁

心野 — Sun, 20 Jan 2008 01:18:00 GMT

摘要: 阅读全文

心野 2008-01-20 09:18 发表评论

友益文书7.0.1破解版

心野 — Tue, 06 Feb 2007 09:59:00 GMT

看到这么多朋友有需求，我就将自用的版本与大家共享，谢谢大家的支持！

关于友益文书的新版本，短期内暂无破解的打算(难度也颇大)，请予谅解！

仅供个人学习与测试使用，请勿私自传播及用于商业用途！

下载地址：

http://www.cnitblog.com/Files/torch/yyws701.rar

心野 2007-02-06 17:59 发表评论

我爱背单词８光盘版破解手记

心野 — Sun, 07 Jan 2007 10:41:00 GMT

摘要: 阅读全文

心野 2007-01-07 18:41 发表评论

Foxit Reader2.0Build0930破解版

心野 — Thu, 02 Nov 2006 12:18:00 GMT

Foxit Reader由于其小巧的体积、不输于Adobe PDF Reader的强大功能而受到许多朋友的喜爱。其2.0版在多国语言支持方面有了很大的改善，现在只需要下载其语言包文件即可实现界面的中文化。未注册的Foxit Reader其阅读功能不受影响，但在保存利用其自身的注释功能编辑过的PDF文件时会在首页留下体验版痕迹。
经过简单使用分析，在使用以下三项功能时会弹出体验版对话框：保存文件、另存文件、点击"TypeWriter"菜单或按钮。破解的思路为：先用W32dsm静态分析软件分析程序的对话框资源，可找到两个相关对话框，利用搜索功能记下所有调用地址。运行Ollydbg动态分析软件载入程序进行分析，将记下的地址全部中断。利用调试运行的Foxit Reader打开一PDF文件，任意添加一注释，点击保存按钮，程序很快断下，子程序返回后向上几行可找到判断跳转代码，将其改为强行跳转即可，按此方法可找到其它几个跳转点。做完这些后程序运行保存功能是没有提示了，但还是有水印，解除水印的方法为根据水印的字符串在W32dsm中搜索，然后在OD中相应地址处设断，其实在其上面几行处便有判断跳转的code，直接在那设断更方便。接下来的工作就很简单，修改跳转代码即可。共有以下几处地方需要修改（只是个人粗浅的分析结果，仅供参考）：
41c696: 7504-->eb56
41e5a7: 743f-->eb3f
41c69e: 754e-->eb4e(也可不改，第一项跳转足够了，但我是后来才发现的)
41c945: 743e-->eb3e
421f14: 7436-->eb36
下载Foxit Reader2.0 Build0930版本后，用二进制编辑软件对FoxitReader.exe相应处（直接输入文件偏移地址时，最前面的4要省去）进行编辑即可实现破解。

也可直接下载我已经破解好的版本，地址：http://www.orbitfiles.com/download/id1008189370
修正了原始简体中文包中的两处错误，包含繁体中文字体支持，加入PDF文件管理器和PDF文件编辑器，为方便安装做成自解压文档，直接运行即可实现绿色安装（如果不放心也可自己解压缩）。注意点上面的链接后在出来的页面中的左边直接点下载即可，不需要注册。

心野 2006-11-02 20:18 发表评论

十四位仿真科学计算器(语音型) v1.9 绿色特别版

心野 — Sun, 02 Jul 2006 13:35:00 GMT

软件简介：真实的计算器界面，真正的绿色软件，不需安装，一个文件集全部功能于一身，不占用注册表资源。中文语音提示，键盘与鼠标操作，操作方式与现实生活中普遍使用的计算器完全相同，所以非常容易上手，尤其对经常使用小键盘数字输入的用户来说更加方便。

加密特点及破解：有使用次数限制，算法好像还是有点复杂的，没仔细去看，程序启动时会读存取在注册表中的注册码并进行验证，破解也没啥可说的，脱壳后修改代码让其跳过注册码的读取及验证（短跳转改长跳转，修改一处即可搞定），另外去除了二个注册菜单项。需要的赶快下载，个人用用就好，请不要散播！

1.91绿色特别版：
http://www.cnitblog.com/Files/torch/CalcVoice.rar

心野 2006-07-02 21:35 发表评论

WinMPG Video Convert V6.5破解补丁

心野 — Sun, 25 Jun 2006 12:15:00 GMT

软件简介：视频转换大师，支持格式丰富，WinMPG Video Convert 可以帮助你快速完成AVI to Mpeg 1, AVI to Mpeg2, AVI to DVD, AVI to VCD, AVI to SVCD的转换工作,还支持把以上所有的视频格式转换为Divx格式或者AVI格式.WinMPG Video Convert 拥有非常漂亮友好的界面.支持Skin.它几乎支持包括AVI, Mpg, Mpeg, Mpeg1, Mpeg2, Mpeg4, VCD, SVCD, DVD, DivX, ASF, WMV.等在内的所有的视频格式。视频转换大师(WinMPG Video Convert)的出现，为视频多媒体文体的转换提供了一个完美的解决途径。它支持 AVI 至Mpeg1, AVI至 Mpeg2, AVI 至DVD, AVI至VCD, AVI至SVCD, 所有格式转至标准的DivX, 以及所有格式转至标准的AVI的格式转换。视频转换大师(WinMPG Video Convert)作为专业的视频多媒体文体转换软件,它几乎涵盖了现在所有流行的影音多媒体体文件的格式, 包括AVI, Mpg, Mpeg, Mpeg1, Mpeg2, Mpeg4, VCD, SVCD, DVD, DivX, ASF, WMV以及 QuickTime MOV/MP4。

加密特点：采用用户名和注册码校验机制，校验通过的话会将值写入config.ini中，下一次启动的时候会读取并再次校验。这个软件还有如下三个个人认为较特别的地方：一是反汇编后可以看出其主体代码部分每两到三句就是一个跳转，但用PEID查看并无壳，我估计应该是PEID不能识别的一类壳，这给破解带来了难度，而且几乎是无法脱壳。第二个比较特别的地方就是其用户名注册码的校验是放在ENVC.dll这个动态链接库中完成的，而在其主程序的Import Table中看不到，我观察了一下其调用不是采用直接寻址，而是用的寄存器寻址，我水平有限，还不知道是编译器编译的结果还是程序自身采用的技术。第三点就是有一个地方校验后不是采用je、jge之类的常用跳转指令，而是用的Setne指令，惭愧的是我这地方一直没看出来，最后还是在网上下载了别人的补丁之后才知道这一点的。

破解方法：004837dc处：je改nop                                              //之前有调用外部链接库检测注册码，依据返回值调整注册标记
             0048d0c1处：je改nop                                             //执行菜单隐藏
             00494874处：setne al改为sete al(of95c0->0f94c0)       //之前有调用外部链接库检测注册码，依据返回值调整注册标记

还有一处改不改影响不大，若上面三处地方未改，只改下面这一句，可以实现输入任意用户名和注册码都能注册，但只对当前进程有效，重新启动后又会失效。
             0048bf8e处：je改nop                                               //跳过注册码验证

这次的破解基本上是别人的成果，我只是记录了一下，另外，程序主界面中的Buy Now链接未去除，嫌麻烦算了。

补丁下载，注意是6.5版的： http://www.cnitblog.com/Files/torch/WinMPGVideoConvertV6.5Crack.rar

心野 2006-06-25 20:15 发表评论

腾龙网络电视试用版五分钟限制破解

心野 — Thu, 22 Jun 2006 12:59:00 GMT

首先声明：该软件为骗子软件！！！（http://bbs.fk8.com/archiver/tid-2968.html）

但事情都有其两面性，这个软件的评估台非常不错，连接非常快，另外，休闲视频中网罗了网上N多的搞笑视频，也还不错。但只能评估五分钟，到时间就不让看。

加密特点：软件属于重启校验型，而且是到其网站服务器上去校验，因此即使有人给出了注册码也无法通过校验。据我估计校验通过后会下载播放地址，每点一个播放地址时还会有本地校验，如果是试用版，就定时五分钟。

我破解了其五分钟的限制，由于正式版的台绝大多数都不能看，破解起来也比较费力，就放弃了。

这里提供破解好的版本，下载解压后运行即可，绿色软件，不想用随时可删除。

http://www.cnitblog.com/Files/torch/rongtvcr.rar

心野 2006-06-22 20:59 发表评论

PowerBuilder程序暴力破解实例（PBD文件编辑法）

心野 — Sun, 11 Jun 2006 03:15:00 GMT

[工具]：PBKiller，UltraEdit
[破解对象]：直销业绩管理系统V5.0

PowerBuilder的伪码编译同VB伪码编译一样，同样是PB动态库解释伪码执行，伪码放在以PBD为后缀的文件中。对付它的利器就是PBKiller，利用它几乎可以反编译出和源代码相同的语句，连我这个没学PB的人也看得很清楚。
直销业绩管理系统V5.0有30天的试用期，过期就不能运行。用PBKiller反编译dot.pbd后找到其注册代码（w_wrcode-controls-cb_1-events-clicked）：
string ls_code
integer li_rn
ls_code = trim(parent.em_1.text) + trim(parent.em_2.text) + trim(parent.em_3.text) + trim(parent.em_4.text)
if len(ls_code) <> 16 then
messagebox("提示","注册码长度必须16位")
end if
li_rn = f_checkregcode(ls_code)
if li_rn = 0 then
f_setreg("9",f_encode(ls_code))
f_setreg("3",f_encode("89"))
messagebox("提示","注册成功,请重新进入系统！")
halt close
else
messagebox("提示","注册码错误！")
end if
return
代码很好懂，属重启校验型，注册算法是f_checkregcode函数。这里就不贴出代码了，其基本思路是先取C盘的8位序列号，再对注册码进行算法转换得到8位字符串与前面所取得的序列号进行比较。由于不是明码比较，注册算法中的16位到8位的转换要找出其逆算法也不容易。因此我就考虑暴破的方法，即修改PBD文件，但网上这方面的资料很少，只能自己摸索了。
首先找到其重启校验代码（dotnew-Events-open）：
rt_chk_value = myreg.f_check_reg()
if rt_chk_value = -100 then
messagebox("提示","系统时间有误！")
halt close
end if
if rt_chk_value = -200 then
messagebox("提示","注册码有误！")
halt close
end if
if rt_chk_value = -300 then
messagebox("提示","试用期到，请注册！电话：xxxx网址：xxxxx")
open(w_wrcode)
return
end if
if rt_chk_value = -400 then
messagebox("提示","系统破坏，请联系开发商！")
return
end if

来至f_check_reg：
ls_right = f_encode(f_redreg("0"))
ls_wrong = f_encode(f_redreg("1"))
if ls_right <> "wright" or ls_wrong <> "wrong" then
return -400
end if
ls_regflag = f_redreg("3")
....
后面还有就不贴了。其中的f_encode(f_redreg(""))可根据不同的参数在注册表的不同项中读取出加密过的字符串并进行解密，之后进行校验，返回值为－100、－200、－300、－400其中一个的话程序就会报错退出。

至此，程序加密部分算法基本分析完毕，现在就要找出暴破点。我选择的是f_check_reg，即想办法让其所有返回值都为100（经分析，返回100表明是注册版）。难就难在PBKiller虽然能反编译出源代码，却不能编辑它。注意到其中的－100、－200等数字，转换为十六制后就是FF9C、FF38，考虑到存储时的高低位互换特性，因此实际存储的十六进制代码应为9CFFFFFF、38FFFFFF（PB中是这样的，花费了我好一会时间才摸索出规律），OK，用UltraEdit打开PBD文件，搜索十六进制9CFFFFFF，结果会有很多，注意到地f_check_reg中有代码段：
if check_result = 0 then
return 200
else
return -200
end if
说明200和－200相离很近，因此选择搜索－200的十六进制表示（搜索200也可以），并且每搜索到一个就向上看，找找附近有没有C800（200的十六进制表示），这样用不了多久就能确定其位置了，在其附近还能找到100、－300、－400等的十六进制表示，用UltraEdit将找到的－100、－200、－300、－400十六进制表示全部改为100的十六进制表示。存盘退出，将系统时间延后两个月，程序正常运行。

小结：PBD文件经过反编译后能看到其源代码，结合汇编知识，理论上应该能利用UltraEdit找出每一句代码及数据对应的地址并进行修改。但确实比较繁琐，其实PBKiller自带了一个PBL阅读器，能比较好的区分PBD的相应函数、窗口代码段，再在其中利用本文介绍的方法应该能更快的确定要修改的代码段。可惜的是我水平实在有限，也没那么时间去研究PB伪代码中跳转、判断的对应十六进制代码及其修改方法，希望有高手能总结出来。好累，到此为止了。

心野 2006-06-11 11:15 发表评论

百利服装进销存管理系统R12破解补丁

心野 — Mon, 05 Jun 2006 13:33:00 GMT

功能我就不多做介绍了，界面比较简洁美观。针对的版本是R12，编译版本是B0.161。

加密特点：软件采用USB软件狗的方式加密，用户登陆时会检测一次（应该不是读狗，可能是读注册表，判断是否安装有狗的驱动），影响的是显示版本（试用版或是企业版，如果是企业版，以后的功能项会检测到有狗时才能使用），以企业版用户登陆成功后，里面的几乎每项功能都会检测狗是否存在，不存在就会报错退出。

破解简要记录：首先在登陆的时候让其跳过检测成为企业版（否则就以试用版用户登陆，不会检测狗，相应功能会受到限制），由于检测狗的地方众多，应该采取斧底抽薪的方式，让其在检测函数中直接跳转，这样无论该检测函数调用多少次都不会有问题。另外，“帮助”菜单中有一“如何购买”菜单项，用exescope将其删除（用Resource Hacker无法编辑）。至此，破解基本完毕，破解后的程序运行正常。

声明：此补丁是本人学习破解的作品，仅限个人用户试用，请切勿用于商业用途！支持国产软件请积极购买正版！

6月6日补记：登陆的时候不是让其跳过检测，而是将其注册版标志位置为True，因为后来很多地方都检测这个标记。

又有了新版本了，B0.162，加密手段没有变化，一并奉上破解补丁。

6月11日补记：由于软件作者已经找上门来，因此暂时关闭下载，如果确实有需要，请在此留下您的Email，我会给您发送过去。

6月25日：停止提供补丁！

心野 2006-06-05 21:33 发表评论

液压设计手册软件版期限解除补丁

心野 — Mon, 05 Jun 2006 10:52:00 GMT

软件简介：《液压设计手册（软件版）》V1.0依据最新颁布的国家标准进行编制，将液压产品设计、制造中所需的各种资料、设计规范、技术标准汇编成手册。数据查询部分包括常用液压基础标准、液压流体力学常用计算公式及资料、液压基本回路、液压泵、液压马达、液压缸、液压控制阀、液压管件、液压介质、液压比例阀、伺服阀、液压辅件等模块，是目前国内液压设计方面数据较为齐全的资料库软件。

该软件具有方便快捷的资料查询功能，可按目录查询、索引查询、搜索查询等查询方式简单、准确地查到所需要的数据，缩短了查询资料所耗的时间，提高了工作效率。工程计算器模块集中了40多个常用的计算公式，便于用户进行计算。同时，该模块作为一种工具软件，具有较好的通用性，可建立工程设计中各种常规公式库，并提供了合理的操作界面。它为用户提供了公式录入功能和删除功能，使得用户可以输入适合自己本单位具体情况的特殊公式，方便工程技术人员在工程设计过程中使用。

本手册内容新颖、覆盖面广、数据量大，可供从事液压设计、制造的专业技术人员使用，也可供相关专业的工程技术人员以及大专院校的师生参考.

该软件有两个月的使用期限限制，到期会要求你插入正版光盘进行验证。破解过程比较简单就不记录了。现提供补丁，下载后运行补丁文件，浏览找到Html.exe补丁它即可。希望能结识从事液压行业工作的网友，大家共同进步。

http://www.cnitblog.com/Files/torch/Htmlcrack.rar

心野 2006-06-05 18:52 发表评论

esale3.10破解补丁

心野 — Sat, 03 Jun 2006 13:36:00 GMT

软件简介：ESALE服装进销存是根据服装行业的独有特性，专为服装、服饰行业而开发的一款销售管理软件。该软件自推出以来，在服装行业内获得好评。功能实用而且简便。上手容易，无需太多电脑知识，轻松掌握。

破解说明：补丁后，软件成为正式版，无任何功能限制。数据库初始密码随便输入几个数字即可。注意，用户权限未做限制，任意用户进去后均具有超级用户的所有功能（没有办法，不这样做，即使是超级用户有时会蹦出无权限的警告，只好彻底解除限制）。该补丁为本人学习破解的作品，仅供个人用户试用，请勿用于商业用途！

补丁下载：

6月12日更新：
310版补丁：

注意：310版补丁对权限未做更改。

310版补丁带权限解除（慎用，所有用户具有超级用户功能）：

6月25日：停止提供补丁！请谅解！

心野 2006-06-03 21:36 发表评论

明星三缺一2002运行时出现乱码提示框导致无法运行的解决办法

心野 — Sat, 27 May 2006 10:57:00 GMT

在单机版麻将游戏中，明星三缺一2002应该属于最优秀的了。今天在单位分别将其拷贝给两个同事，竟然出现一台能玩一台不能玩的状况，我们的机器配置完全一样，我自己的也能玩，基本排除硬件故障。在百度上搜索了一下，有不少人遇到类似的问题，但都没有解决。后来在一个论坛上看到有网友说可能是提示插入光盘。一开始没在意，我们的机器都没光驱，可仔细一想就发现问题了，我和能运行该游戏的同事的机器上均装有虚拟光驱软件，而不能运行的那台机器上没装。因此，我推测这款游戏应该是被人破解过了的，即让游戏不需要插入光盘就可以运行，但没有解除游戏检测光驱是否存在这一限制。解决办法：安装一款虚拟光驱软件即可解决，推荐Alcohol120%。－－－以上均是个人推测，明天去单位验证一下就知道了。

附上游戏下载地址：http://www.dfzx.net.cn/dfzxgame1101/mx3q1.rar

作为一款休闲游戏还是很好玩的，光盘序列号：CD-key:711S9D31 SN：AG3K1859

后记：已经通过验证，装上虚拟光驱已经能玩了。出现同样问题的玩家先看看你的机器是不是没有光驱？

为了方便大家，我制作了免光盘补丁，补丁之后没光驱也能进入游戏了，序列号也不限了，随意输入都行。

补丁下载：http://www.cnitblog.com/Files/torch/明星三缺一2002-patch.rar

心野 2006-05-27 18:57 发表评论

PowerCHM5.5Build0401破解补丁

心野 — Thu, 20 Apr 2006 13:16:00 GMT

　请先至http://www.dawningsoft.com/或其它站点下载原版安装程序，然后将下面的压缩包解压到安装目录里执行一次，请勿用于商业用途。
　http://www.cnitblog.com/Files/torch/PowerCHM5.5Build0401.rar

心野 2006-04-20 21:16 发表评论

SuperIcon4.0Build2004.08.20破解纪要

心野 — Sun, 16 Apr 2006 11:00:00 GMT

　本来没想破它的，只是在做另一个程序的破解补丁的时候发现应用程序图标不好看，因此到霏凡下载站去下了一个可编辑ico图标的软件supericon，实际上已经有人破过了，我闲得无聊再来一次。废话少说，简要记录一下破解过程。
　安装好之后启动程序，发现有30天的试用期。用PEID查了一下，是用pecompact加的壳，调出看雪论坛的破解宝典，搜索了一下，可以用简单的用esp定律脱壳。脱壳之后再查，delphi程序，正合我的胃口啊。用DeDe反汇编，一时也没看出啥，再用W32dsm8.93反编译看了一下，字符串列表中有“已注册”字样，爽啊。再在DeDe中找到对应的引用地址，是在对话框的formcreate函数中，再向上一看，瞄出程序有一关键跳转，即判断[eax+114]所指向的值是否为0，不为0则是注册版。接下来的工作就是看这个[eax+114]所指向的注册标志在程序中是何时赋的值。
　用OD调试脱壳后的程序，先在对话框的formcreate函数上下断点，记下[eax+114]代表的内存值，重新载入，在主窗口的formcreate函数处下断(否则就会发现[eax+114]所指向的内存未分配)，然后在[eax+114]处下内存访问断点(初始值不为0,因此程序运行的时候肯定修改了它)，F9运行，哈哈，没一会程序就断下了，按Alt+F9返回主程序模块，此时可以看出[eax+114]处的值已经变为0了，强制修改为1，运行，OK，程序变为注册版了，由此判断其它地方未修改其值。反复查看给[eax+114]赋值的函数，水平有限没看出啥名堂(初步估计是在类的构造函数中完成的)，因此只好另想其它的修改方法，最终我采用的方法：在主程序给[eax+114]赋值后，让其jmp到我写的代码处，重新给其赋值，之后再回到主程序执行。
　以上只是简要破解过程，实际上还是走了不少弯路的。
　备份一下patch代码：
　　//005ddc22(对应文件地址：1ddc22)
　　jmp 005e763e(对应文件地址：1e763e)

　　//5e763e
　　mov edx,dword ptr ds:[5EBDA8]
　　mov dword ptr ds:[edx],eax
　　mov byte ptr ds:[eax+114],1
　　jmp 005ddc2a

心野 2006-04-16 19:00 发表评论

Delphi程序破解技术概要

心野 — Sat, 15 Apr 2006 14:58:00 GMT

　小弟也才学破解没多久，说的不对的地方请各位大侠指正！

　１、用PEID等工具查看程序有没有加壳，一般都会有壳的，有专用脱壳工具的就省得麻烦了，直接用工具搞定。没有的话就只能在Ollydbg等动态调试工具中手动脱壳了，建议先到Google或是百度上搜索一下有没有前人脱类似壳的例子。具体过程不多说了。
　２、运行脱壳后的程序，看有无自校验，有的话要先解除。一般是在Ollydbg中下CreateFileA、GetFileSize、ReadFile等断点来找到程序的自校验处，可以同时开两个Ollydbg来分别调试脱壳前后的程序，找到关键跳转处修改之。对于一些变态的程序要考虑使用代码Patch技术，即在壳解压完进入OEP前一刻运行自己的patch代码，此是后话。
　３、标题中提到了Delphi程序，该是DeDe出场了，它强大的反编译功能我无法用语言描述，用过的人都知道。用DeDe反编译脱壳后的程序，如果不出意外很容易就能看到和Delphi源程序结构类似的汇编代码。通过它很快就能确定各个菜单、控件的事件代码，再在Ollydbg中相应处下断，找出爆破点或是算法代码。DeDe美中不足的是无法显示函数调用（如A函数在程序中具体有哪些地方调用它，有些时候这样的信息非常重要），还好有W32dsm这个静态反汇编工具帮我们解决这个难题。要想实现快速破解Delphi程序，应该DeDe、Ollydbg、W32dsm三者结合起来使用。

心野 2006-04-15 22:58 发表评论