OD 实验(十四) - 内嵌补丁

内嵌补丁(inline patch)：

内嵌补丁指在程序文件中把补丁代码写入文件里面达到破解的目的

如果修改某行语句会影响后面的语句，例如某语句占用 3 个字节，修改完变为 5 个字节，会覆盖后面的语句，这时就需要用到内嵌补丁

程序：

运行程序

NAG 窗口显示只有 30 天的试用期，点击 Continue 就会来到主界面

关闭程序

接下来修改系统时间，把时间修改为 30 天之后

打开程序

NAG 窗口显示没有试用的天数剩余了

Contine 已经不能按了

再把时间改回来

再启动程序，程序的 NAG 窗口还是显示没有天数剩余了

用 PEiD 看一下

这是用 VC 6.0 写的程序

逆向：

用 OD 打开程序

运行一下程序

点击 Enter Reg. Code 输入注册码，然后点击“Ok”

此时的 OD 没有任何变化，还是在程序的起始处

在 OD 界面按“Ctrl+N”

键盘直接敲 killtimer，搜索 killtimer

KillTimer 函数用于销毁指定计时器

右键 -> 在每个参考上设置断点

一共设置了 48 个断点

重新在输入注册码处按 Ok

程序停在了此处

上面有两条信息，一个是“The registration code seems to...”是注册失败的，“Thank you for your support...”是注册成功的

往上看看有没有什么跳转语句

这个跳转语句直接跳过了注册失败的地方

jnz 跳转指令上有个 cmp 指令，如果 jnz 要进行跳转的话，eax 就不能等于 3

跳过来之后这里又有一个 jnz 跳转，如果跳的话，就会跳过成功的地方

如果不让它跳的话，eax 的值要为 4

这个 cmp 指令是来自别的跳转

右键 -> 转到 jnz 来自 004DC04C，进行跳转

这个跳转指令上面还有一个 cmp 指令，如果 eax 不等于 2，就进行跳转

这个 cmp 指令是来自 004DBE01 的跳转

来到 004DBE01 的位置

这个 jnz 跳转指令上面又有一个 cmp 指令

这个 cmp 指令是来自 004DBDA9 的跳转

来到 004DBDA9 处

往上就是该代码块的开头了

下两个断点

一个在该代码块的开头处，一个在 cmp 指令处

重新跑一下程序，让它在开头处停下

按 F8 往下走

eax 在这里被赋值，ebp+8 是程序的第一个参数，值为 1

如果在这里进行修改的话，改成 mov eax, 4，会覆盖后面的指令

因为 mov eax, 4 占 5 个字节，原来的语句只占 3 个字节，会把后面的语句覆盖掉，造成堆栈不平衡

复制下面两行指令

选中 -> 右键 -> 二进制 -> 二进制复制

在该程序里找一块没用的空间（一般在末尾处）来写内嵌补丁

从 005E47D0 处开始写

添加指令 mov eax, 4

然后粘贴刚才复制的那两条指令

右键 -> 二进制 -> 二进制粘贴

粘贴的时候要选中两行

完成之后修改先前那个 mov 指令

修改为 jmp 005e47d0，即刚才那个补丁的地址

该行指令还是占 5 个字节，把后面的两行指令给覆盖了

但是那两行指令在后面有，没什么影响了

接下来在补丁处添加个 jmp 跳转指令，使其能跳转回去

保存程序，运行

程序会一直弹出该窗口

回到 OD，走一下程序

执行到补丁处 eax 的值就变为 4 了

接着一路往下走

走到这里会弹出那个成功的对话框

按 F9 运行会发现，程序进入了一个死循环

程序会回到开头处，然后一直循环

回到成功前的那条跳转指令

此时的 jnz 是不跳转的，然后弹出成功的对话框，之后进入一个死循环

将 ZF 置 0，让其跳转

在 B 之后，就结束了这个 switch 语句

B 中调用了一个过程

该过程会跳出对话框

把 mov eax, 4 改为 mov eax, 0B，B 前面要加上个 0

保存程序，运行

程序可以直接运行，也没有了 NAG 窗口

另一解法：

OD 重新载入程序，跑一下程序

出现 NAG 窗口后按一下暂停

然后按 Alt+K，显示调用堆栈

任何函数和过程的调用都要动用到堆栈

最后三个可能是生成 NAG 窗口的调用，因为 NAG 窗口是后面才调用的

先从最后一个开始，双击来到它所在的位置

在此处下一个断点，重新跑一下程序

出现 NAG 窗口

按 F8 往下走一步

点击 Exit

往下走了一步

这个 call 和 NAG 窗口有很大的关系，可能就是 NAG 窗口

找到该代码块的开头处，下一个断点

接下来重新跑一下程序

停在该断点处

按 F8 往下走

这是第一个跳转，跳转未实现，接着往下走

来到第二个跳转指令，跳转已实现，直接跳

接着走到第三个跳转指令

看看该跳转指令跳到哪

跳到了 retn 语句之前，也就是直接跳过了 NAG 窗口的那个 call

执行完 retn 之后，按 F9 运行

程序又回到了刚才那个代码块的开头

F8 往下走

第一个跳转指令变为已实现，看看它跳去哪

跳到这个位置，跟着它跳跳看

接下来又是一个跳转指令

看看它跳到哪

跟着它进行跳转，继续往下走

之后是一个未实现的跳转

继续往下走，就来到了那个与 NAG 窗口有关的 call 了

浏览了大概之后，就对程序进行修改

先看第一个跳转指令

如果将该跳转指令改为已实现的话，将跟后来的一次情况一样，执行 NAG 窗口

再看第二个跳转指令

将第二个跳转指令改为未实现会是什么情况

将 ZF 置 1

改完之后跑一下程序

直接进入了主界面