NET程序的破解--静态分析(Xenocode Fox 2006 Evaluation)

时间:2022-08-22 17:27:02

NET程序已经红红火火的兴起,就象LINUX一样势不可挡的涌来。作为一名Cracker,你会选择躲避吗?嘿嘿,对俺而言,挑战更富有趣味。

破解好几个.NET的程序了,一直想写出来,只是时间问题,所以拖到现在,怕再不写,就忘的一干二净了;)…….

一、兵器

公欲善其事,必先励其器。在静态下反编译NET程序我选择Reflector,Xenocode Fox 2006 Evaluation。他们的下载地址分别如下:

Reflector: http://www.aisto.com/roeder/dotnet/

Xenocode:http://www.xenocode.com/Products/Fox/Community.aspx

二、破解目标:Xenocode Fox 2006 Evaluation 14天使用限制

二、破解流程

很多人都介绍过静态分析破解.NET的程序,所以如果你已经是老手或者下面的部分刚好是你所不屑一看的部分,请退出J。

之因为破解这个程序,是在论坛里henryouly曾“【推荐】两个.NET IL的相关工具”,试用了一下Xenocode Fox 2006 Evaluation,效果确实很不错,程序有点类似Reflector,只是多了一点我认为比较好的功能:直接显示代码在程序体中的位置。Reflector是完全免费的,但Xenocode Fox 2006 Evaluation却有14天的限制,过了14天想使用就需要调整计算机的日期了,而且老版本的Reflector还无法反编译Xenocode Fox 2006 Evaluation。以己之矛,克己之盾,唉,军中大忌呀。

启动Xenocode Fox 2006 Evaluation的主程序FOX.EXE,在没过期的时候很容易就启动了;把时间向后调整1个月,FOX.EXE启动就提示14天的测试期到了,然后就退出了。

用新版本的.NET Reflector, Version 4.2.36.0打开Xenocode Fox 2006 Evaluation主程序,发现程序代码已经被混淆过,看不出什么名堂了,就是有一点的有名函数,对我们来说也没什么太大作用了;搜索关键字串14-day,也找不到。过期如下

在Reflector里用鼠标右键点程序FOX的名字,在出现的菜单里有一个选项“Go To Entry Point”,嘿嘿,看到了吗?

在这个菜单上点一下,我们被动局面立刻就被扭转了:我们直接来到了程序的入口代码处!按我们的推测,程序启动就判断了时间,验证是是不是过期了,没过期就启动,否则就出现过期的提示框,然后退出。那么在入口代码处,我们一段段代码的过,一定可以找到时间比较过程等。入口处函数代码如下图:

在xc447809891322395函数上双击,出现函数代码一如下(C#)显示:[STAThread]private static voidxc447809891322395(){ if (!x867eb3246b182488._c7c43f12e732db09()) ;行1 { Application.EnableVisualStyles(); Application.SetCompatibleTextRenderingDefault(false); Application.Run(new x3e4e23fadc83a77e()); }}

看到上面的入口代码,你不觉得行1可疑吗?进入程序就调用了一个函数,然后判断的结果影响后面的所有代码的执行,嘿嘿,我们点击上面的_c7c43f12e732db09()进入,看到代码段二如下:

public static bool _c7c43f12e732db09()
{
if (x71a0073930f50f3f.xb30f5e1eb4806151("XFTRL" + x77fa6322561797a0.x9c1c eef9a932f141, new TimeSpan(x867eb3246b182488.x7ee7e0aa39016337, 0, 0, 0, 0)))
{
MessageBox.Show(MessageTable.TrialExpired, x77fa6322561797a0.x6886d5a186 7d55cb);
return false;
}
return false; 

看到什么了?如果你学的外语是英语,一定可以看出来在.IF语句里的TimeSpan、TrialExpired
是什么意思了,而且还带着MessageBox,哎,是不是来的有点太容易了,J。上面语句中进入就用那
些参数进行了时间比较,然后不过期的话,返回FALSE;过期返回TRUE。 
看来修改返回的TRUE和FALSE测试一下,就知道我们上面的判断的正确与否了,就是让返回的都是
FALSE,程序不就认为是在使用期限内吗?如何修改?有很多前辈高人讲了很多办法,比如直接用
ILDASM反汇编出来,然后修改语句,再用ILASM编译回去等等。我对他们的方法一直操作的不好,
所以我用懒人的办法。
你想知道吗?呵呵,let us go! 
把上面代码段二切换为IL格式,如下代码段三:
L_0033: pop L_0034: ldc.i4.1 L_0035: ret L_0036: ldc.i4.0 L_0037: ret 
所对应的机器码就是26 17 2A 16 2A ,而我们想修改上面的L_0034: ldc.i4.1变成L_
0034: ldc.i4.0 就可以了。我用HEXWORKSHOP打开FOX.EXE,然后查找上面的HEX代码,
找到后,修改17为16,就可以了。这里会有个问题:如果在程序中查找出来好几个地方都一样,
你如何修改?
这就是我看中Xenocode Fox 2006 Evaluation的地方,它可以直接告诉你函数的入口在
BODY中的地址,而且告诉你这个函数一共占有多少个字节。如下图:   
用HexWorkShop打开FOX.EXE,然后直接定位到文件的111D88处,然后向下看我们的
26 17 2A 16 2A,或者找111D88处的偏移,111D88+34=111DBC,怎么样?修改吧,
还等什么,记得修改完后保存。  
启动FOX看看效果,嘿嘿,已经在过期的情况也使用了,只是过期提示还存在,让人觉得难受。 去掉提示框:①修改代码L_0022: brfalse.s L_0036 这里,改为直接跳转到L_0036②或 者把Messagebox函数屏蔽掉,都可以去掉过期提示。我开始用方法1修改,发现程序运行就出错,

原来是牵扯到OPCODE语句执行后有堆栈平衡的问题,看来不熟悉也不行。我最终选择使用 方法2修改,启动Hexworkshop,把L_0024~ L_0033间的语句全替换为NOP,在IL语言中就是 00,然后保存退出。

再启动,世界清净了,嘿嘿,里面的EVALUTE 就修改成PRO好了,嘿嘿,顺手牵牛…….