吾爱破解 培训第五课：反击作者的挑衅实战解除程序重启验证 笔记

吾爱破解 培训第五课：反击作者的挑衅--实战解除程序重启验证 笔记

《吾爱破解培训第五课：反击作者的挑衅--实战解除程序重启验证》 讲师：我是用户

课件内容

1. 熟悉OD字符串插件的使用
   Ctrl+F:搜索字符串

2. 熟悉OD如何下断点
   Ctrl+G:直接断API
   Ctrl+N:输入表断API
   利用插件

3. 熟悉procmon的使用

   可以监控文件，注册表，网络，进线程信息
   排除进程:ExClude
   查看指定进程:Include

4. 熟悉文件操作API的使用

   CreateFileA(W):创建文件
   ReadFile:读取文件
   WriteFile:写入文件
   CloseHandle:关闭句柄
   读取文件:CreateFile->ReadFile->CloseHandle
   写入文件:CreateFile->WriteFile->CloseHandle

5. 熟悉注册表操作API的使用

   创建注册表Key:RegCreateKey
   打开注册表Key:RegOpenKey
   查询注册表键值:RegQueryValue(Ex)
   写入注册表键值:RegSetValueEx

6. 什么是重启验证

   重启验证顾名思义就是在程序启动时验证注册信息。

7. 重启验证的执行流程

   基本的执行流程: 注册信息输入-->程序重启-->执行验证机制-->正常执行
   扩展的执行流程: 注册信息输入-->执行部分验证机制/执行假验证机制-->程序重启-->执行真验证机制-->正常执行
   对于有经验的作者来说,可以在注册信息输入和程序重启之间加入假的验证机制,假的验证机制一般比较简单,比如说只是当单纯的明码比较,当我们输入这个假的注册码的,程序一般会提示注册成功,此时程序就会知道我们是逆向者,在程序重启时就会假装注册成功,在执行程序功能时就会报错或是无反应,这就是所谓的暗桩。

8. 重启验证的类型

   重启验证根据写入信息位置的不同一般分两类:

   • 一类是将注册信息写入文件中;

   • 一类是将注册信息写入注册表中;

9. 如何定位关键代码

   1. 字符串定位
      通过OD字符串插件扫描敏感字符串,一般出现的文件路径或是注册表路径都可能是验证信息的保存位置
      2.监控工具定位
      通过procmon等监控工具监控注册信息的写入位置
      3.API定位
      通过定位CreateFile,RegCreateKey等API来获取注册信息的写入位置

10. Demo演示(见资源)

    重启验证1:写入信息进txt:JXU2MjExJXU2
    CreateFile->WriteFile->ReadFile->比较算法

    重启验证2:写入信息进ini:NjJGJXU3NTI
    WritePrivateProfileStringA:写入配置信息
    0012F530 00544638 |Section = "验证"
    0012F534 00544634 |Key = "Key"
    0012F538 001C9578 |String = "987654321"
    0012F53C 001D7F70 \FileName = "C:\Users\Administrator\Desktop\52Pojie.ini"

    GetPrivateProfileStringA:读取配置信息

    重启验证3:写入信息进注册表:4JXU2MjM3

课后问题总结答疑

无

课件工具

吾爱破解专用版Ollydbg：http://www.52pojie.cn/thread-350397-1-1.html
论坛专用破解虚拟机：http://www.52pojie.cn/thread-341238-1-1.html
其他工具见爱盘：http://down.52pojie.cn/Tools/

ProcMon:http://down.52pojie.cn/Tools/Anti_Rootkit/

课件资源

360云盘下载：
https://yunpan.360.cn/surl_y3GCKpiI2fX 提取码：7693
百度网盘下载：
链接: https://pan.baidu.com/s/1z9WQeYgUGxcurVD2lKfNeg提取码: e2su

爱盘下载：
http://down.52pojie.cn/吾爱破解视频教程/吾爱破解论坛官方入门教学培训第一期/

解压密码：
www.52pojie.cn