对ReadBook 1.5.1脱壳

最近常用ReadBokk电子书，觉得功能挺好，就是打开书的时候老是提示注册很不爽。于是把最近刚学的破解牛刀小试一下。先用peid查一下用了什么壳，原来是“PEtite 2.x [Level 1/9] -> Ian Luck”。其实脱这个壳很简单，用peid的插件peid gengric unpacker 就可以直接脱壳了。但是我走了一点弯路，我是手动用esp定律找到eop是4326c，然后用import rec重建输入表的，但是这样子没有脱壳干净后来遇到了很多问题。于是我就干脆用工具脱壳了。脱完壳之后，运行一下碰到弹出一个自我修复功能的对话框。没说的，用od载入，下断点，查看这个对话框的调用函数。一下是代码：

00419754   .  53            push    ebx                              ; /hTemplateFile
00419755   .  53            push    ebx                              ; |Attributes
00419756   .  6A 03         push    3                                ; |Mode = OPEN_EXISTING
00419758   .  53            push    ebx                              ; |pSecurity
00419759   .  6A 01         push    1                                ; |ShareMode = FILE_SHARE_READ
0041975B   .  8D85 DCEEFFFF lea     eax, dword ptr [ebp-1124]        ; |
00419761   .  68 00000080   push    80000000                         ; |Access = GENERIC_READ
00419766   .  50            push    eax                              ; |FileName
00419767   .  FF15 68024600 call    dword ptr [<&KERNEL32.CreateFile>; /CreateFileA
0041976D   .  83F8 FF       cmp     eax, -1
00419770   .  8945 E0       mov     dword ptr [ebp-20], eax
00419773      0F84 D4020000 je      00419A4D           ---关键的跳 在这里改成 jmp 00419A4D 使用od的二进制编辑 将0F84改成 90 E9
00419779   .  8D4D D8       lea     ecx, dword ptr [ebp-28]
0041977C   .  51            push    ecx                              ; /pFileSizeHigh
0041977D   .  50            push    eax                              ; |hFile
0041977E   .  FF15 14024600 call    dword ptr [<&KERNEL32.GetFileSiz>; /GetFileSize

编辑完保存可执行文件。

这个的基本思路是载入exe文件到内存中校验。修改完重新打开程序，ok,期间走了不少弯路，一个就是这些工具还不大会用。经过这个以后知道破解原来很简单。可能是我刚好找到一个容易的吧。不过注册的窗口还没有搞定，下次再研究。