第50篇：使用OD逆向破解流光Fluxay扫描器各种限制（怀旧）

 Part1 前言 

大家好，我是ABC_123，最近在整理之前用过的工具，发现了大学时期曾经用过的小榕写的扫描器“流光Fluxay”，一晃15年过去了，这个工具当年在国外的名气也是响当当的，想起来了那时候研究技术的单纯和快乐。

我收集了好几个流光扫描器的版本，发现有几个1999年和2000年的流光版本有各种限制，导致软件打不开了，可我还想再用一下。在年前把王爽老师的《汇编语言》重新看了一遍，又看了一些都快忘干净的逆向破解教程，于是就使用OllyDbg尝试解除了该软件的各种限制，正好练练手。

接下来就讲一讲具体的破解过程，我尽可能讲得详细些，适合新手入门。总共需要破解3处限制：1、软件启动时的“用户调查表”；2、数字签名校验；3、多处软件过期校验。

 Part2 破解过程 

• 去掉“用户调查表”界面

软件打开后会有一个“用户调查表”界面，刚开始这个界面就把我给难住了，找关键字、找API函数、查找堆栈的窗口函数都不行，一通下断点一直走下去就走进类似于“PeekMessageW”的消息队列死循环。

最后想了个方法，出现“用户调查表”界面后，在OllyDbg上点击“暂停”按钮，然后按“Alt+F9”，从系统领空返回到程序的领空，很快找到关键跳转，然后在00407D19处下断点调试。

接下来将00407D19处的窗口给NOP掉，OD重新载入发现，第一个“用户调查表”窗口已经被去掉了。

• 软件过期限制解除

将去掉“用户调查表”的程序保存为另一个exe文件，双击运行，直接提示“软件过期”，接下来就是去掉这个限制。

各种搜索关键字发现找不到，怎么办呢？经过思考，出现“流光2001已经到期”之后，程序会退出，那可以先将“程序退出”的功能给去掉，OllyDbg一直跟到004060B3处，发现了msvcrt.exit标记，发现了退出功能代码，在此给nop掉。

此时发现，软件仍然提示过期，但是不会退出了，说明修改成功。接下来猜想，退出代码上面必然是各种关键跳或者关键call，所以退出指令之前的几个jmp跳转指令全部打上断点，重新动态调试。

最终发现在0040606B处，将jle有条件跳转改为jmp无条件跳转，即可成功解除“软件过期”提示。

• 数字验证解除

接下来继续运行流光2000，这时候,会提示“数字验证失败”，说明作者怕软件被捆绑后门，进行了校验。

为了解除这个“数字验证”，首先点击“确定”按钮，然后一路单步F8跟到“msvcrt.ext”退出提示，然后使用OD查看之前的汇编指令，发现了关键跳转所在的位置，同样将附近的4、5个跳转全部下断点，重新用OllyDbg动态调试。

最终经过反复测试，发现将00406875处的跳转改成jmp无条件跳转，即可绕过“数字验证”。

至此，已经将流光2000的所有限制全部解除（这里发现有时候还是会提示软件过期，但是在win10操作系统下不会提示，我也就不再花费时间去解除这些限制了）。

重新看一下这个流光老版本的界面吧，怀旧一下。

• 流光1999年版本的限制解除

接下来破解一个网上能搜索到的最老的1999年版本的流光。有了前面的参考，破解起来会容易很多，毕竟一个软件研发者的写代码的习惯都是一致的，因而我们的破解思路也应该是一致的。

同样出现了一个“流光II用户调查表”，但是这个界面和前面的不一样，前面的破解方法失效。这里我猜想一个软件开发人员，研发习惯都是一样的，所以我重新看了一下前面刚刚讲过的流光2001的破解启动界面的关键call附近有啥重要标记，发现有一处“Software\Banyet\FluXay”字符串，所以我们直接在流光1999软件中搜索这个字符串吧，猜想流光1999的关键call也在这个字符串附近。

接下来搜索“Software\Banyet\FluXay”，果然不出所料，存在这个字符串，接下来打上断点。

在当前断点之后很容易就找到了关键call，在004047D5处，将此处的call给nop掉。

第一个启动界面就被去掉了，接下来熟悉的界面出现了，好怀旧的界面啊。

点击“我同意”按钮之后，熟悉的“数字验证失败”又出现了。

这个界面使用前面的破解方法就不行了，猜想后面的功能实现不一样，接下来使用OD按下Ctrl+F8自动单步走，发现最后会陷入PeekMessageA消息队列的死循环。

接下来怎么办呢，我想了各种办法，最终用了一个废力但是效果不错的方法，我找了几个参考关键字，在关键字附近的关键跳都打上断点，然后F8单步走，凭感觉和经验在遇到的关键跳附近都打上断点，总共打了10几个断点，反复动态调试，终于有一个关键断点被找到了，于是将0043784C处改成jmp无条件跳转。

至此流光1999年的这个版本限制完全解除，看一下当年小榕大神的作品。

 Part3 总结 

1.   无意中发现找到msvcrt.exit退出指令，向上找关键跳和关键call，这种方法效果不错。

2.   逆向破解方面如果有软件编写经验会更好，上述我的破解过程，完全是按照研发人员写代码的流程来思考和破解的。

公众号专注于网络安全技术分享，包括APT实战分析、红队攻防、蓝队分析、渗透测试、代码审计等，每周一篇，99%原创，敬请关注。

Contact me: 0day123abc#gmail.com(replace # with @)