PECompact.v1.80.b2解密详解

/////////////////////////////////////////////////////////////////////

//

// 目标软件：PECompact

//

// 软件版本：1.80 Build 2

//

// 官方网站：http://www.CollakeSoftware.com/

//

// 软件授权：共享软件

//

// 操作系统：Win95/98/ME、WinNT/2000

//

// 软件简介：知名的PE格式文件压缩工具…

//

// 软件保护：PECompact壳保护

//

/////////////////////////////////////////////////////////////////////

//

// 使用工具：TRW2000 v1.22 娃娃修改版

// (主要用于调试分析)

//

// LordPE Armageddon by y0da

// (Dump & PE文件分析修改)

//

// WinHEX v10.4 SR-3

// (用于PE文件的16进制修改)

//

// Hiew v6.70

// (用于添加SMC代码)

//

// Our Brain…:-)

//

/////////////////////////////////////////////////////////////////////

//

// 关于本文：本文主要目的在于教学，研究PECompact壳的分析及多重SMC解

// 密方法…请勿将此教程用于商业目的。

//

// Always Your Best Friend: FiNALSErAPH

//

// 水平有限，难免疏漏…

//

// Any Question?

// Mail To: FiNALSErAPH@yahoo.com.cn

//

// 2002-05-10

//

/////////////////////////////////////////////////////////////////////

//

// 第1步：得到可正确执行的脱壳文件(其实只要DUMP就行，没必要可执行)

//

/////////////////////////////////////////////////////////////////////

这一步比较简单，我就不详细叙述…详细过程可参看以前的文章。关于OEP可

参看DiKeN的“快速找到PECompact加壳文件的OEP”

/////////////////////////////////////////////////////////////////////

//

// 第2步：分析脱壳后的文件，找到我们要修改的地方

//

// 这里比较有意思的是对于PE文件控件的屏蔽…

//

// 这是最近研究ViRiLiTY做的破解才注意到的。

//

/////////////////////////////////////////////////////////////////////

对于解决日期限制问题就不多说了，比较简单。

pec1:004011E9 call sub_40542F

pec1:004011EE mov ds:dword_40D69D, eax

//返回值是剩余的使用时间

//修改方法是将0040542F的指令变为ret

pec1:0040542F enter 30h, 0

//MOV b,[0040542F],0C3

/////////////////////////////////////////////////////////////////////

对于显示Unregister! 我找到以下关键点：

pec1:004053A5 push offset aUnregistered ; lpString

//->"Unregistered!"

//这里的代码要改为我们想保存自己姓名信息

//的地址。(这个地址可稍后确定)

//MOV d,[004053A6],????????

pec1:004053AA push 434h ; nIDDlgItem

pec1:004053AF push [ebp hDlg] ; hDlg

pec1:004053B2 call SetDlgItemTextA

/////////////////////////////////////////////////////////////////////