Category “在LCG的日子里”

吾爱破解CrackMe Reg.dll还原

星期三, 22 十月, 2014

不用谢、只是闲的无聊而已。明白人一看就知道怎么回事了,aplib解压还原、无技术含量,dll还原的还是有点问题,附一个吧
reg
Read the rest of this entry »

ISC看雪keygen me分析

星期三, 24 九月, 2014

crackme2

其实没啥难度……算法部分就是

可以看到其实就是输入的key^0x32然后再拿异或后的key两两异或生成一个val然后再每个字节异或val生成一个checkcode、然后checkcode再去异或key^0x32得到的就是结果。于是怎么算回去呢?因为异或的神奇属性,所以我们可以选择直接把最后的结果xor 0x32然后再写个程序跑0-0xFF的异或结果即可。跑完了发现只有三个比较漂亮的结果,答案就是其中的一个。

话说我做的时候是用OD的……这是为了写给各位看官看才用ida f5了一下的_(:з」∠)_

怒艹流氓老毛桃之二

星期二, 16 九月, 2014

越看这代码越是气不打一处来。老毛桃现在俨然已经不是以前那个甘于为大家奉献的老毛桃个人、而是一个唯利是图的商业团队。中国的软件作者一旦染上商业的色彩便无所不用其极……真是恶心的让人想吐……代码写的简直就是个病毒!打着方便易用的旗号实则在WinPE里感染正常操作系统关闭UAC为自己安装流氓软件大行方便之道。我说这些推广厂商也不看看你们选的团队用什么方法推广你们的软件。用病毒推广自己的软件不觉得害臊么,以前我还以为只有百度会这么做。现在发现尼玛TX也不是什么好东西……你的东西好我不用你推广也会去自己下载,这种流氓的推广方法只会为自己增加负面的积分!

先来说说那个MySET、核心全都在这里面了,然后还有个SUPPORT.img,位于/ILMT/IMGS/SUPPORT.IMG,本身不是标准的IMG镜像文件、打开看头文件有个FBAR的Magic、在脚本里也看到了fbinst的引用,所以猜测是fbinst的磁盘镜像文件,遂用FbinstTool装载,得到如下结果
20140915081626

明白人一看就懂了吧?Inno setup的安装脚本

你以为我的分析到此结束么?错……对于这种流氓软件恨不能生啖其肉。这只是个引言,接下来才是他流氓的地方。
Read the rest of this entry »

怒艹流氓老毛桃之一

星期日, 14 九月, 2014

_(:з」∠)_晚上给妹子装电脑、弄了好久……非常小心的没有装上国产的流氓软件、然后都弄好以后重启用老毛桃备份、备份完了启动速度巨慢。然后发现被安装了 爱奇艺视频 飞速浏览器 网购返利 QQ管家等软件……=。=一开始我还觉得奇怪、他妈的刚才还没问题怎么备份一下国产流氓全都出来了……然后想了一下……大概是老毛桃的毛病……之前用这个会被设置主页……这次用的新版没想到会这么过分……

遂怒查资料、发现老毛桃用了一个隐藏分区、之前一直想研究老毛桃的原理却止步在这个隐藏分区上,这次不会退让了……太流氓了……妈蛋!
查到如下

UD是使用时空论坛bean大侠制作的fbinst或者它的gui界面fbinsttool产生的一个分区,可以在硬盘、U盘或者储存卡上分出一个隐藏的分区,其特性是除了基于fbinst的工具可以进行读取之外的任何软件或者系统都无法读取其中的数据,具有防病毒、木马和防格式化等功能!而且对U盘的普通格式化也不会破坏隐藏FBA文件。

然后遂查找fbinsttool提取老毛桃分区,研究发现SRS文件夹应该是一堆驱动 TOOLS文件夹是附加的几个镜像PELOAD就是自定义的那坨东西IMGS就是启动菜单上的一堆功能。

回忆了一下是使用了拓展的imagex工具染上流氓的、遂拆镜像、找文件,Autoit3封装、拆!

从代码可见老毛桃之猥琐。大概也是流氓软件常用的手法。然后想了一下大概这不要脸的家伙会把MYSET放到PE镜像里,遂查之。果然在LMT Win8镜像的System32下面找到了这个、两层壳、外面一层是啥不清楚,感觉像加密壳?谁知道呢……反正里面是UPX。加壳这货是入门吧……UPX外面套个啥都是废品啊。

解之。发现了老毛桃的名字

Release path in autoit3:
C:\DOCUME~1\linfu\LOCALS~1\Temp\autE9.tmp

大概是个叫linfu的家伙……=。=人肉什么的先放放。然后剩下几个是

Release path in autoit3:
E:\制作测试\OneKey Ud\OneKeyUD\附件源码\老毛桃 设主页源码\MyInclude\帮助.dat
E:\制作测试\OneKey Ud\OneKeyUD\附件源码\老毛桃 设主页源码\MyInclude\fbinst.dll
E:\制作测试\OneKey Ud\OneKeyUD\附件源码\老毛桃 设主页源码\MyInclude\reg.dll
E:\制作测试\OneKey Ud\OneKeyUD\附件源码\老毛桃 设主页源码\MyInclude\Url.dll
E:\制作测试\OneKey Ud\OneKeyUD\附件源码\老毛桃 设主页源码\LMTset.au3.tbl

总之reg功能繁多、分析暂缓。还有解的不太好……第一次接触AutoIt3没啥经验,回头解个完美的出来分析。

从这上面来看应该是在备份前就已经把这些垃圾艹到系统里了……因为只延迟了30秒启动。而且因为镜像改起来比较麻烦、之后我大概会放一个MYSET的解药。其实最好的方法就是在刚进入老毛桃Win8PE的时候删除System32下的MySet.exe_(:з」∠)_卅、谁叫咱一开始不知道这事呢~

A keygen’s story – for Xlight FTP Server x64/x86

星期三, 18 六月, 2014

感谢digital insanity的Keygen。

20140618000723 20140618000333

第一次写通用的x64程序patch、劫持了个Dll然后用detours撸了一遍……兼容性应该爆棚……这个公司只要一直用这种算法那么他就一直会躺枪……无限兼容的动态补丁_(:з」∠)_x64和x86是一份代码=w=

 

话说其实这软件还是挺不错的……可以支持IPv6的Ftp Server,跟妹子传文件的时候好方便啊(* ̄︶ ̄)y 给他点个赞吧……

CrossOver.OSX.Cracked.By.Azure[LCG]

星期二, 19 十一月, 2013

(´・_・`)这两天静不下心来啊……好烦好烦……自己的学业虽然比较重要、但是还是不想放弃自己的兴趣……
放个图,有图有真相
CrossOverCracked
话说这是我破解的第一个OS X程序……其实一个字节就能破解的……为了完美起见多补了几个字节……ObjC还真是一切皆对象啊……

_(:з」∠)_鉴于CodeWeavers是良心厂家……各位想方便使用CrossOver的还是去花几块钱买个正版吧。破解我是不会放的。

对游戏视频外挂字幕的一点笔记

星期日, 20 十月, 2013

will社引擎虚拟机的0x61指令对应ShowMovie

其中比较关键的两个函数

这里用的是DShow里的IAMMultiMediaStream播放视频、具体看这里Video Streaming Sample Code (Windows)
Read the rest of this entry »

C84东方辉针城封包分析

星期二, 13 八月, 2013

_(:з」∠)_首先在这里感谢前辈的工作 https://code.google.com/p/thtk/downloads/list

然后再来拜一下ZUN神……有米的话大家还是支持下正版、反正正版才1K円、也不是很贵。

解包以后的TH14
20130813073524
为了提升能力,封包结构什么的果断还是自己看、

这里是我调试用的udd、各位有兴趣可以自己看。我导入map的时候手滑点错ida版本了、=。=结果导入了一个提示不够给力的map,嘛、不过还好用到的函数还都比较好识别。

TH14的封包跟以前对比只更换了一个Limit、其实图快的话直接改原解包程序即可。

其他部分都是没有变化的。
_(:з」∠)_我们一起来欣赏下ZUN的封包结构。

Read the rest of this entry »

进击的解包器 AQUA STYLE封包完全解析程序

星期一, 5 八月, 2013

= ̄ω ̄=
解包器下载:nfaExtract
回头来看、这封包把拓展名和文件名都日了还真是蛋疼。

封包里一共几种格式.lua .ogg .wav .tga .dds
判断下文件头然后格式就出来了、但是文件名比较蛋疼。_(:з」∠)_话说这样的封包在游戏里调用起来真的方便么。

还有万恶的SIMD2扩展=。=这生成的汇编代码怎么让人在OD里看嘛、全都是乱码怎么看嘛。

代码全重写了。_(:з」∠)_感觉之前写的那个解包类外表上看上去很有误人子弟的感觉、其实是游戏里是递归调用判断cryption标志进行相应的解密的。

一起欣赏下新的解包器工作的界面吧……
20130805170428

放出修改以后最核心的部分代码(* ̄︶ ̄)y 其他的部分比较容易大家自行脑补就可以了,这里需要注意的是readPackage是个递归调用父封包readPackage进行读取数据和解码的函数。
Read the rest of this entry »

AQUA STYLE游戏封包分析

星期日, 4 八月, 2013

RT、只是粗略分析、这东西一堆STL、然后好像托管C++都用上了、逆起来太蛋疼、一堆类对象、搞起来简直是找虐的感觉。

目标游戏:不思議の幻想郷2 みらくる☆パーティー
游戏厂家:AQUA STYLE
封包:lotusland4.dat

封包相关结构

需要注意的是有Flag4的封包是Zlib压缩的、=。=那块基本不需要处理、直接把子封包数据块Dump成NFA封包即可、回封的时候直接把原子封包加在dat封包里即可。解压了的话所有文件的体积可是相当的庞大、好像有7G之多。主要是那块懒得写了、╮( ̄▽ ̄”)╭ 封包相关的内容现在已经基本逆完了,_(:з」∠)_偷懒中……

首先dat封包的头部是sig、sig是NFA0、我们干脆就叫它NFA封包。然后NFA封包的下层结构也可以是NFA封包、或者是压缩过的NFA封包、在这个样本中压缩过的NFA封包数据块是被加密的、说起加密。我们还是来看看相关的代码

首先是这里、0xE6才是真正意义上的Key、Key通过与0xEE异或产生用于解密的Key,这里是0x08

看一下解密后的标准文件头
20130804095900
可以看到dat的文件头上很标准的排列着NFAHdr,FileInfo,char Name[0x80],FileInfo,char Name[0x80],FileInfo,char Name[0x80]…这样的结构。

没有压缩Flag的子文件解包请看005B78A0这个函数。
没有压缩Flag的文件头解密后,橘色部分是标准文件头、
20130804093105
带压缩Flag的子文件解包请看005B7F70这个函数。
带压缩Flag的子文件解压解密后、红色部分是FileInfo
20130804093210

红色部分三块都有、是FileInfo结构、每个文件3个DWORD描述文件的偏移原大小和一个Flag。
文件名部分是长度为0x80的char数组、只有dat这个最顶层结构有这个。子封包是没有这个结构的。顺便说这个结构是否存在是通过FileName那个Flag进行判断的。

其他的附上udd、各位看官有兴趣请自行下载调戏~
LotusLand4.rar

封包解析代码、渣代码我自重_(:з」∠)_各位见笑了……用这个代码可以成功释放出所有mov和游戏的lua脚本,比较奇怪lua里面为啥还会有ruby=。=嘛、没搞过lua和ruby的暂时先放放了、以后有空再搞。

剩下的汉化工作就是对导出的lua脚本进行放尿Play、羞耻Play【我自重、_(:з」∠)_总之大概就是这个样子了。
Read the rest of this entry »