icy小组－内部测试题：爆破3hi网络电视思路

大家好，我是 BoXer[ICY] ，这次做的动画是《icy小组－内部测试题：爆破3hi网络电视思路》

由于我们要爆破，要的是思路，因为爆破就是找软件最薄弱的地方进行爆破，用最短的时间获得最大的收获
（虽然说追码是最高境界，但是对时间紧迫的我们来说省时才是王道）

下面我说一下我的思路，希望老大卡卡和其他组员能指正,也希望能跟群里的朋友一起讨论。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

思路1：常规思路，从注册提示入手

查壳，发现没壳（ 不知道是不是组员已经帮脱好了(-_-!) ）

语言是 Microsoft Visual Basic 5.0 / 6.0

先看看有什么注册提示。原来是“注册资料不正确”

那么OD载入，F9运行，输入假的注册码，不要按注册那么快，先回去OD下断

由于是VB就下这个断点：  bp rtcMsgBox

再按注册，断下来了，F2取消断点

看到堆栈出现：

0012E7B8   0043221C  返回到 3hi网络?0043221C 来自 MSVBVM60.rtcMsgBox

Ctrl+G 到 0043221C  看看

00432216   .  FF15 9C104000 CALL DWORD PTR DS:[<&MSVBVM60.#595>]     ;  MSVBVM60.rtcMsgBox
0043221C   .  8D4D C0       LEA ECX,DWORD PTR SS:[EBP-40]            ;  来的这里，上面就是弹窗函数

再向上找到起点慢慢跟，起点找到下面：

00431F10   > \55            PUSH EBP

慢慢跟会发现：

0043214E     /0F85 F0000000 JNZ 3hi网络?00432244 

就这句了，改跳吧，改为 jmp

保存后运行发现只是提示注册而已，标题还是显示没注册，那就是没有真正的注册

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

思路2：从启动验证入手

细心的人肯定会发现软件一启动就判断是否注册，没注册的是否够时间

我们可以想软件应该是读取某些注册地方或者函数计算

之后返回一个值来说明软件是否注册的，这个就是我们开头说的软件最薄弱的地方了

如果我们跳过这个值或者修改这个返回值永远为注册的值，那么我们就是注册的用户了

OD载入，直接下断  bp rtcMsgBox

F9，运行立刻断下来，F2取消断点

看堆栈：

0012F564   0041269F  返回到 3hi网络?0041269F 来自 MSVBVM60.rtcMsgBox

到  0041269F  看看

00412699   .  FF15 9C104000 call    dword ptr [<&MSVBVM60.#595>]     ;  MSVBVM60.rtcMsgBox
0041269F   .  8D8D 0CFFFFFF lea     ecx, dword ptr [ebp-F4]          ;  来到这里，上面又是一个弹窗函数
   
我找关键跳的方法先看看返回的地方周围有没有跳过来的地方，如果有就追到跳转的地方

如果有大跳转的就更加要留意，多下几个断点不会亏的（下少了可能就错过一两个关键跳转(-_-!) ）

向上找,找到一个大跳转

004122F4   . /0F84 85020000 je      0041257F

那么我们就到  0041257F  这个地方看看

0041257F   > \C745 FC 49000>mov     dword ptr [ebp-4], 49
跳转来自 00412230, 004122F4, 00412573

见到有3个地方跳来这里，下面就是弹出剩余的地方了，我们跟到最前那个看看

00412230   . /E9 4A030000   jmp     0041257F

这个是个硬跳，往上找找有什么可疑的地方

00411CD4   . /0F85 D40C0000 jnz     004129AE

这跳转非常的可疑，我们到  004129AE 看看

004129AE   > \C745 FC 50000>mov     dword ptr [ebp-4], 50
跳转来自 00411CD4, 00412803, 004129A2

大家可以看到这个跳直接跳过了启动验证那里的，证明这个跳极大可能就是启动验证的关键跳

我们回到

00411CD4   . /0F85 D40C0000 jnz     004129AE

改为jmp硬跳试试

保存，测试一下，ok!

（由于测试比较匆忙，如果没有真正的爆破请告诉我，E-mai: scship@163.com ）

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

废话几句：这个动画是我开学后为icy做的第一个动画。因为我开学后都非常的忙，没能为icy做点什么。
          也很少跟小组成员和群里的朋友一起交流，因为我实在太忙了。卡卡，各位成员，希望能理解我。
          我热爱icy，喜欢icy的大家庭。
          也希望各位热爱破解和熟悉破解的朋友能踊跃加入icy，我们共同提高。

icy群：   18383453