过EnigmaProtector2.xx注册保护-C文档类资源-CSDN下载

该资源内容由用户上传，如若侵权请选择举报

过Enigma Protector 2.xx 注册保护

3星（超过75%的资源）

所需积分/C币：9 2010-12-10 15:11:57 198KB APPLICATION/X-RAR
3

收藏
举报

【文章标题】: 绕过 Enigma Protector 2.xx 注册保护【文章作者】: CodeGame 【作者邮箱】: CodeGame@Yeah.Net 【作者主页】: http://blog.csdn.net/codegame 【作者QQ号】: 441673604 【软件名称】: windows 计算器【软件大小】: 669kb 【下载地址】: windows xp 系统自带【加壳方式】: The Enigma Protector 2.20 正版【保护方式】: The Enigma Protector 2.20 正版【编写语言】: VC 【使用工具】: OllyDBG 【操作平台】: Windows XP sp3 【软件介绍】: 1+1=2 【作者声明】: 文笔菜的很请谅解，只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教! -------------------------------------------------------------------------------- 【详细过程】参考了 http://unpack.cn/thread-59541-1-2.html 定位方式，迅速定位到了 Enigma 注册授权位置: 010F2CBF E8 CC76F3FF call calc_em.0102A390 010F2CC4 8B45 E8 mov eax,dword ptr ss:[ebp-0x18] 010F2CC7 E8 FC78F3FF call calc_em.0102A5C8 010F2CCC 50 push eax 010F2CCD E8 DE90FFFF call calc_em.010EBDB0 ; Check Registration Key Info 010F2CD2 85C0 test eax,eax ; Eax =1 Success! 010F2CD4 0F95C0 setne al 这里010EBDB0 这个CALL负责检测注册码是否正确，正确返回1 否则返回0,由于 Enigma有多线程内联补丁保护因此不能直接硬写此处代码，所以我们采用了硬件断点HOOK来实现。 1:定位PatchAddress: 先看此块内存信息：地址=01026000 大小=002F4000 (3096576.) 属主=calc_em 01000000 区段= 类型=Imag 01001002 访问=R 初始访问=RWE 这块内存实际是Enigma的内置DLL授权模块，此块DLL是被加密压缩过，因此也无法直接patch，通过对比加不同的程序发现这块区域解压后的代码都不变： $+CCCBF > E8 CC76F3FF call calc_em.0102A390 $+CCCC4 > 8B45 E8 mov eax,dword ptr ss:[ebp-0x18] $+CCCC7 > E8 FC78F3FF call calc_em.0102A5C8 $+CCCCC > 50 push eax $+CCCCD > E8 DE90FFFF call calc_em.010EBDB0 ; Check Registration Key Info $+CCCD2 > 85C0 test eax,eax ; Eax =1 Success! $+CCCD4 > 0F95C0 setne al 因此PatchAddress = BaseAddress+PatchOffsetAddress，通过上面分析得到 Enigma Protector 2.20 的 PatchOffsetAddress = 0xCCCD2 ，不同版本的PatchOffsetAddress 有可能不一样，BaseAddress 的获取就更简单了，直接搜索区段判断VirtualSize为0x002F4000的VirtualAddress+GetModuleHandle(0)即为BaseAddress，整理公式： PatchAddress = GetModuleHan

...展开详情

Enigma 脱壳注册

立即下载