PC守护神》爆破――打破守护神的大门

【破解标题】爆破

【脱文作者】 //phantom[ghoster]

【作者邮箱】webmast9492@163.com

【使用工具】 Peid、Ollydbg 、ImportREC

【脱壳平台】 Win98/XP

【软件名称】 私人磁盘管理

【软件简介】 PC守护神是一款功能强大的系统安全辅助软件。它采用先进的安全技术，让您的电脑随时

保持在高速运行的安全状态之中。拥有系统安全实时防护、IE实时保护、系统安全管理、网络安全管理四

大强劲功能。同时还提供IE设置修复、弹出插件免疫、插件管理卸载、进程服务管理、系统安全设置、自

启动管理、系统漏洞修复、网络状态查看、IP查询、系统备份、系统清理等众多辅助功能。您不妨下载试

试，相信您一定会喜欢它的^_^

【加壳方式】 本软件为ASPack 2.12 -> Alexey Solodovnikov的壳

【破解声明】 为了技术而破解，别无他意。
  此软件注册后需要重起验证，输入的注册码存在注册表中,下次上传它的注册码算法分析^_^。

用OD载入程序后，ultra string reference----find  asii码发现“本软件已注册给：”的提示。
004F1860  /.  55            PUSH EBP
004F1861  |.  8BEC          MOV EBP,ESP
004F1863  |.  6A 00         PUSH 0
004F1865  |.  33C0          XOR EAX,EAX
004F1867  |.  55            PUSH EBP
004F1868  |.  68 DD184F00   PUSH 11_.004F18DD
004F186D  |.  64:FF30       PUSH DWORD PTR FS:[EAX]
004F1870  |.  64:8920       MOV DWORD PTR FS:[EAX],ESP
004F1873  |.  803D 50854F00>CMP BYTE PTR DS:[4F8550],1           ;  比较DS是不是为1，
004F187A      75 3C         JNZ SHORT 11_.004F18B8               ;  改为NOP不要跳过下面的“

本软件已注册给”对话框
004F187C  |.  8D45 FC       LEA EAX,DWORD PTR SS:[EBP-4]
004F187F  |.  8B0D 54854F00 MOV ECX,DWORD PTR DS:[4F8554]
004F1885  |.  BA F0184F00   MOV EDX,11_.004F18F0                 ;  本软件已注册给。
004F188A  |.  E8 B534F1FF   CALL 11_.00404D44
004F188F  |.  8B55 FC       MOV EDX,DWORD PTR SS:[EBP-4]
004F1892  |.  A1 746E4F00   MOV EAX,DWORD PTR DS:[4F6E74]
004F1897  |.  8B00          MOV EAX,DWORD PTR DS:[EAX]
004F1899  |.  8B80 2C030000 MOV EAX,DWORD PTR DS:[EAX+32C]
004F189F  |.  E8 0450F5FF   CALL 11_.004468A8
004F18A4  |.  A1 746E4F00   MOV EAX,DWORD PTR DS:[4F6E74]
004F18A9  |.  8B00          MOV EAX,DWORD PTR DS:[EAX]
004F18AB  |.  8B80 2C030000 MOV EAX,DWORD PTR DS:[EAX+32C]
004F18B1  |.  B2 01         MOV DL,1
004F18B3  |.  E8 E04EF5FF   CALL 11_.00446798
004F18B8  |>  A1 746E4F00   MOV EAX,DWORD PTR DS:[4F6E74]
004F18BD  |.  8B00          MOV EAX,DWORD PTR DS:[EAX]
004F18BF  |.  8B10          MOV EDX,DWORD PTR DS:[EAX]
004F18C1  |.  FF92 E8000000 CALL DWORD PTR DS:[EDX+E8]
004F18C7  |.  33C0          XOR EAX,EAX
004F18C9  |.  5A            POP EDX
004F18CA  |.  59            POP ECX
004F18CB  |.  59            POP ECX
004F18CC  |.  64:8910       MOV DWORD PTR FS:[EAX],EDX
004F18CF  |.  68 E4184F00   PUSH 11_.004F18E4
004F18D4  |>  8D45 FC       LEA EAX,DWORD PTR SS:[EBP-4]
004F18D7  |.  E8 6431F1FF   CALL 11_.00404A40
004F18DC  \.  C3            RETN
修改完后运行软件时，再执行软件注册时， 弹出“本软件已注册给：USERNAME”的MessageBox!

本软件在脱壳时有个问题，找到程序的OEP后，用OD 带的Dump debugged process插件抓取内存文件后，

不关闭OD时可以正常运行，关闭OD是不能正常运行。
在不关闭OD下，打开ImportREC_fix软件修复IAT时，不能修复IAT，显示不能在OEP找到任何有用信息。若

次时运行脱壳后的软件，再打开ImportREC_fix修复IAT时，修复suffcefull，关闭OD后软件可以正常运行

。
请高手解释其原因。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课