使用Dede破解Delphi软件实战

最新推荐文章于 2022-02-23 15:02:25 发布
最新推荐文章于 2022-02-23 15:02:25 发布
阅读量1k 收藏 1
点赞数
分类专栏: javase 文章标签: delphi 破解 reference string c borland

======================================================
注:本文源代码点此下载
======================================================

昨日练习了一把如何破解delphi软件。下面和大家分享一下破解的过程,对初学者,希望有授之以渔的作用。

首先分析我们的目标软件,不要问我破解的是什么软件。保护知识产权,要从娃娃抓取。

目标软件是一个销售系统,它有时间限制,安装完成后可以正常运行,把系统时间调后一年,软件不能正常执行,再把系统时间调回,效果依然一样。

在使用过期软件时,系统依然能够登陆,但是在点击菜单的时候,弹出您使用的软件已经过期的字样。

下手:

1.观察程序的目录结构,程序主要就是一个exe文件,其余有两个ddl,察看属性,是borland公司的。

2.使用ultraedit打开这个软件的主执行文件,看看头部,没有加壳。看看中间的资源代码,出现tlabel等开头的字符,显然该软件是delphi开发的

3.使用dede打开这个软件的exe文件,进行分析和二次详细分析。

4我们知道,在登陆过程中显然没有进行过期验证,而是在菜单的表单弹出来之前验证的,目标明确,我们直奔主form文件。打开窗体标签,从中发现了tmainform,在右边的代码中我们看到了工具栏常见的代码

object toolbutton4: ttoolbutton

left = 124

top = 0

cursor = crhandpoint

hint = '客户资料管理'

caption = 'toolbutton4'

imageindex = 4

onclick = toolbutton4click

end

我们从中选取几个按钮的事件。例如 onclick = toolbutton4click 和onclick = toolbutton5click

5。进入过程标签,从里面选取mainformunit,在右边的事件地址列表中找到我们刚才选取的toolbutton4click,toolbutton5click,点击右键,反汇编。生成的代码均包含这样一段

* reference to : tmainform.proc_005fa21c()

|

005fabb4e863f6ffffcall005fa21c

005fabb984c0testal, al

005fabbb0f85b3000000jnz005fac74

在这里,如果jnz跳转了,那么整个过程就结束了,毫无疑问,jnz上面的call就是进行验证的地方。

双击这个call,我们跟踪进去。没有什么特别的地方,但是发现这样的代码

* possible string reference to: '当数据备份与恢复窗口打开时,不能打开

|其它的窗口'

|

005fa24bba64a25f00movedx, $005fa264

也就是说这个全局函数在检验是否过期之后,还进行其他的合法性检查,如果察看其他的click事件,会发现还有一些用户权限的检查。那么我们往上找

* reference to : thymain._proc_00547434()

|

005fa228e807d2f4ffcall00547434

005fa22d84c0testal, al

005fa22f7404jz005fa235

005fa231b301movbl, $01

005fa233eb22jmp005fa257

这个00547434,如果执行后没问题,jz才可以继续执行。可疑,我们继续跟踪进去,双击该函数

奇迹发生了,我们看到了什么?

* possible string reference to: '您使用的软件是试用版,试用期限将到?

|绻绦褂茫肽胛颐橇担?

|购买软件的使用权限。不然将影响您的?

|ぷ?您已输入的数据不会丢失,注册后?

|杉绦褂?'

|

00547457baa8745400movedx, $005474a8

显然,这个函数就是判断过期的地方,一旦过期就会发出警告窗口。

地方找到了,我们仔细分析一下他的结构,有两个地方可以发生检查

0054743453pushebx

0054743556pushesi

005474368bf0movesi, eax

0054743833dbxorebx, ebx

* reference to field thymain.offs_003c

|

0054743a837e3c02cmpdword ptr [esi+$3c], +$02

0054743e7407jz00547447

005474408bc6moveax, esi

* reference to: hymainunit.proc_00545e00

|

00547442e8b9e9ffffcall00545e00

* reference to field thymain.offs_003c

|

00547447837e3c01cmpdword ptr [esi+$3c], +$01

0054744b7522jnz0054746f

* reference to tapplication instance

|

0054744da138316000moveax, dword ptr [$00603138]

005474528b00moveax, [eax]

* reference to field tapplication.handle : hwnd

|

005474548b4024moveax, [eax+$24]

* possible string reference to: '您使用的软件是试用版,试用期限将到?

|绻绦褂茫肽胛颐橇担?

|购买软件的使用权限。不然将影响您的?

|ぷ?您已输入的数据不会丢失,注册后?

|杉绦褂?'

|

00547457baa8745400movedx, $005474a8

* reference to: unit_00500794.proc_00500ed4

|

0054745ce8739afbffcall00500ed4

0054746133d2xoredx, edx

* reference to field thymain.offs_00c4

|

005474638b86c4000000moveax, [esi+$00c4]

* possible reference to virtual method thymain.offs_00c0

|

00547469ff96c0000000calldword ptr [esi+$00c0]

* reference to field thymain.offs_003c

|

0054746f837e3c02cmpdword ptr [esi+$3c], +$02

005474737524jnz00547499

* reference to tapplication instance

|

00547475a138316000moveax, dword ptr [$00603138]

0054747a8b00moveax, [eax]

* reference to field tapplication.handle : hwnd

|

0054747c8b4024moveax, [eax+$24]

* possible string reference to: '您使用的软件是试用版,如果您要继续?

|褂茫肽胛颐橇担郝蛉砑氖褂?

|权限(您已输入的数据不会丢失,注册后

|可继续使用)'

|

0054747fba48755400movedx, $00547548

* reference to: unit_00500794.proc_00500ed4

|

00547484e84b9afbffcall00500ed4

0054748933d2xoredx, edx

* reference to field thymain.offs_00c4

|

0054748b8b86c4000000moveax, [esi+$00c4]

* possible reference to virtual method thymain.offs_00c0

|

00547491ff96c0000000calldword ptr [esi+$00c0]

00547497b301movbl, $01

005474998bc3moveax, ebx

0054749b5epopesi

0054749c5bpopebx

0054749dc3ret

一个是0054744b jnz 0054746f

另一个是00547473 jnz 00547499

显然,下面要做的不用说了吧,就是75->eb的工作了,呵呵。总算舒了一口气,

6.注意哦,这里的地址都是相对地址,dede提供了一个转到物理地址的工具,在工具菜单里面。我们使用它得到这两句的物理地址是0014684b,00146873

7不用多了,打开ultraedit,找到这两个地址。做你该做的事!

后记:本科苦学汇编语言,今天总算发挥了点作用,不知道是欣慰呢,还是无奈!

本文来自csdn博客,转载请标明出处:http://blog.csdn.net/danny_xcz/archive/2005/05/26/381080.aspx


======================================================
在最后,我邀请大家参加新浪APP,就是新浪免费送大家的一个空间,支持PHP+MySql,免费二级域名,免费域名绑定 这个是我邀请的地址,您通过这个链接注册即为我的好友,并获赠云豆500个,价值5元哦!短网址是http://t.cn/SXOiLh我创建的小站每天访客已经达到2000+了,每天挂广告赚50+元哦,呵呵,饭钱不愁了,\(^o^)/
javazhuanzai
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
delphi反编译工具 dede3.99(支持64位)
10-31
delphi反编译工具 dede3.99,可提取源代码 支持win7 win8 win10 32-64位系统
DeDeDark delphi反编译
CMC_HHM的博客
05-22 8326
DeDeDark是用来反编译delphi程序的一个软件,现在网上最多的版本是3.50.04 1、主界面 软件支持直接拖拽 拖拽完之后会提示是否要分析,选择yes即可 2、模块信息 3、窗体 点击右边的按钮能够看到程序界面的一些信息,包括控件的消息和动作 4、过程 这里主要是一些自己实现的函数,包括控件对应的函数,可以看到有单击和双击的消息处理函数以及一...
DelphiArx(crack) for Delphi development AutoCAD application.
一叶轻舟
03-22 1924
主要采用DeDe 3.5+UltraEdit-32就可以了。如果有正确的license,他的工具向导会自动产生的一个pas Unit单元,包含lincese常量大致内容如下: unit userLicense;// DelphiARX Development User License
DE Decompiler Lite 1.0 by GPcH
Linhanshi Blog
10-24 649
DE Decompiler™ is the unique solution for decompiling the Delphi® generated programs (EXE, DLL, OCX). As you know the Delphi® programs is the native win32 executable files. www.de-decompiler.com/files
Delphi程序破解技术概要
weixin_30879833的博客
10-12 245
小弟也才学破解没多久,说的不对的地方请各位大侠指正! 1、用PEID等工具查看程序有没有加壳,一般都会有壳的,有专用脱壳工具的就省得麻烦了,直接用工具搞定。没有的话就只能在Ollydbg等动态调试工具中手动脱壳了,建议先到Google或是百度上搜索一下有没有前人脱类似壳的例子。具体过程不多说了。 2、运行脱壳后的程序,看有无自校验,有的话要先解除。一般是在Ollydbg中下CreateFileA、...
[160CrackMe]aLoNg3x.2
m0_46296905的博客
10-29 264
还是跟前一个版本的一样,都是要藏按钮。 分析工具: IDR DelphiDecompiler(DeDe) IDA OllyDbg 本篇博客采用的测试数据如下: Name:1234567890 Codice:098765432 老样子,DeDe打开,有个AgainClick,难不成隐藏了按钮? 确实显示这个程序还有一个按钮。 然后IDR辅助分析 RegisterzClick OD中定位,结合IDR给的注释,单步分析,可以看到执行完4429A8之后的返回值决定了是否发生跳转 分析并单步测试可
11. OD-Delphi程序暴力破解
墨痕诉清风的博客
03-03 4632
查找关键字符串:Registration 可以看到没有任何函数跳转到此行验证成功的代码 最上面是retn返回上层函数 下面两个jmp跳转到了别处 jnz也是跳转到了别的地址 尝试jnz改为nop也没有用依然失败 右键此行命令,查看哪里还调用了此行指令 双击进入 我们看到又回到了以前的代码 这是Delphi的特性 如果看到push 004A5841 ...
【摘录】反编译Delphi软件DEDE的使用
acass424022的博客
01-25 715
elphi/C++ Builder采用控件拖放的方式来完成界面的设计,并和事件联系起来。而这些信息以资源(RCDATA)的方式存放于可执行文件中。DeDe便利用这个原理进行反编译,获取相关信息,将界面与事件联系关系还原,但事件的汇编代码不能还原。DeDe公开了源代码,感兴趣的读者可以研究一下。 1.主要功能 用DeDe可以查看Delphi程序窗体的属性,可以查看按钮对应的事件,并将...
Re----小白有一颗破解Delphi程序的心
qq_42192672的博客
09-03 2690
Delphi,是Windows平台下著名的快速应用程序开发工具(Rapid Application Development,简称RAD)。它的前身,即是DOS时代盛行一时的“BorlandTurbo Pascal”,最早的版本由美国Borland(宝兰)公司于1995年开发。 这一段来自于百度百科,看出来有多古老了吧,emmmmm,不过一直在更新,至少2014应该发布过新版本 那作为一个小白,...
C++Builder XE8_upd1破解安装成功纪要
weixin_30755393的博客
12-19 548
1.先下载XE8,安装失败。2.后下载XE8U1(delphicbuilder_xe8_upd1_subscription.iso),安装,选择DelPhi、C++builder,输入系列号:3.安装序列号: QNDH-SNDR63-GQULQL-HHPN OK!OK!安装成功! 4.找到目录“C:\Program Files (x86)\Embarcadero\Studio\16....
DEDEdelphi反编译软件_decompiler_delphi_delphidede_dede_delphidecompil
09-11
DeDe可以查看Delphi程序窗体的属性,可以查看按钮对应的事件,并将事件代码反汇编出来,其能识别出Delphi库函数,具有良好的可读性。另外,还可以把事件输出到map文件中供其他工具使用
DelPhiXE8破解工具和教程
09-15
Delphi是一款运行在Windows平台的快速应用程序开发工具。它采用了面向对象程序语言(Object Pascal 后改名为:Delphi),具有简单、高效、功能强大的特点。通过Delphi可以快速开发Windows、iOS、Android等平台的应用程序。和VC相比,Delphi更简单、更加容易使用,而且在功能上也丝毫不逊色,和VB相比,Delphi则功能更实用、更强大。Delphi以图形用户界面为开发环境,通过IDE、VCL工具与编译器,配合连接数据库的功能,构成一个强大的以面向对象程序设计为中心的应用程序开发工具。 delphi xe8破解版安装与破解图文教程 1.解压后下载的ISO文件,之后在解压的文件中找到“install_RADStudio.exe”,双击运行。 2.在安装界面选择第一个。 .……
DeDe Delphi反汇编软件
03-18
Delphi编译的Exe反汇编成Delphi源程序,效果还不错,dfm可以弄出来,不过 Pas里还是ASM,对于研究破解还是很有用的
delphi反编译工具 dede3.99
01-08
DeDe is a very fast program that can analyze executables compiled with Delphi 2,3,4,5 and Builder and give you the following: - All dfm files of the target. You will be able to open and edit them ...
delphi dede.5
11-16
delphi dede.5 delphi dede.5 delphi dede.5
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 8679
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3064
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 3524
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
软件开发公司网站模板 html5浅蓝白色软件公司集团通用网站织梦dede模板源码
最新发布
11-05
软件开发公司网站模板的设计应该具有简洁、现代化的外观和良好的用户体验。这个html5浅蓝白色模板...这个html5浅蓝白色软件公司集团通用网站织梦dede模板源码提供了一种清新、现代化的设计风格,适合软件开发公司使用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值