非常漂亮滴皮肤skin++ 终极破解之法
*[标题]:Skin++通用界面换肤系统V2.0.1破解探讨
*[作者]:gz1X <gz1x(at)tom(dot)com>
*[来自]:中国黑客联盟
*[前言]:
skin技术,大家都不会陌生,比如winamp,可以灵活的更换界面风格。早期的实现定制的外观方法都需要程序本身做许多处理,编码太麻烦。
后来出现了专门的Skin插件,ActiveSkin什么的。再后来dll调用的skin软件出现,需要Skin支持的程序调用几个方法,就可以使自己的程序外观完全改变,不需要编程者对skin技术有任何的了解。Skin++通用界面换肤系统V2.0.1就是其中比较出名的一款。
但是让很多“贫民”用户来说,要收费还是比较让人烦的。恰好我前几天做了个小项目,顺便用了下朋友推荐的这款软件。
*[软件原理分析]:
逆向了下这款软件,因为这款软件是商业软件,没方法得到源代码,所以我也是主观的猜测。
原理上基本上是这样:
通过消息钩子来改变已有控件的外观,函数原型是SetWindowsHookEx(WH_CALLWNDPROC, HookProc, 0, lThreadID);
这个函数就不多做解释了,查阅MSDN。设置类型为WH_CALLWNDPROC的HOOK。
然后是截获消息,当然不同控件发出的相同消息也是要分开处理的,简单的方法是得到窗口句柄,而通过窗口句柄得到窗口类,一般在HOOK的CALLBACK 函数中可以获得。接下来就是消息处理,一般都是从截获WM_CREATE消息开始,再就是WM_PAINT,其他诸如鼠标消息之类的也是要处理的,就不再多说。但是这里的细节部分,比如钩子的记录,会出现很多烦琐的东西,解决方案是为窗口类型建立类,然后由实例去解决窗口消息的处理和窗口状态数据的记录。获得了窗口句柄以后,使用SetWindowLong技术将窗口句柄关联到窗口类上。并且可以根据窗口的风格让同一个类做出不同风格的显示效果。
具体的代码实现限于我的水平和时间问题,就不多做纠缠。
*[软件用法说明]:
到skin++的官方网站http://www.uipower.com去下载试用版。安装。
在VC平台下设置include和lib,tools/options/directory。也可以把SkinPPDemoSystem(VC)/ VCcases下的include和lib文件的文件拷贝到VC的对应目录。在project/settings/link里添上 SkinPPWTL.lib 。
然后将DLL目录里的SkinPPWTL.dll拷贝到windows目录的system32目录下(注意这个是没破解的)。
生成project的时候,将Skins目录里的某张皮肤拷贝到项目目录下,然后在源代码里加上#include "SkinPPWTL.h",int CMainFrame::OnCreate或者CMFC_SkinApp::InitInstance下加上skinppLoadSkin(_T ("xxx.ssk"));即可。
详细的代码可以参考附带的demo。
如果不是正版用户,在生成可执行文件后运行会弹出对话框要求注册。下面我们就破解掉它。关键是对SkinPPWTL.dll的破解。
*[软件破解分析]:
这款软件好象保护不是很强,explorer "http://www.uipower.com"。我不太习惯叫这类弹出型限制为nag,呵呵。
SkinPPWTL.dll,一般没正式购买的版本会不厌其烦的弹出“Skin++ allows you to add skinning ability to your applications.For informationon obtaining a license to use this control,please visit [url]www.uipower.com[/url] or e-mail sales@uipwer.com.Are you registering?”。
那我们破除它。
[code]
10033097 |. 68 7C120710 PUSH skinppwt.1007127C ; ASCII "UIPower : ...?"
1003309C |. E8 F7E9FCFF CALL skinppwt.10001A98
100330A1 |. 8365 FC 00 AND DWORD PTR SS:[EBP-4],0
100330A5 |. 51 PUSH ECX
100330A6 |. 8BCC MOV ECX,ESP
100330A8 |. 8965 EC MOV DWORD PTR SS:[EBP-14],ESP
100330AB |. 68 10030710 PUSH skinppwt.10070310 ; ASCII "UIPOWER"
100330B0 |. E8 E3E9FCFF CALL skinppwt.10001A98
100330B5 |. FF35 A8270710 PUSH DWORD PTR DS:[100727A8]
100330BB |. 834D FC FF OR DWORD PTR SS:[EBP-4],FFFFFFFF
100330BF |. E8 B7F10000 CALL skinppwt.1004227B
100330C4 |. 83C4 14 ADD ESP,14
100330C7 |. 83F8 06 CMP EAX,6
100330CA |. 75 18 JNZ SHORT skinppwt.100330E4
100330CC |. 6A 05 PUSH 5 ; /IsShown = 5
100330CE |. 6A 00 PUSH 0 ; |DefDir = NULL
100330D0 |. 6A 00 PUSH 0 ; |Parameters = NULL
100330D2 |. 68 64120710 PUSH skinppwt.10071264 ; |FileName = "http://www.uipower.com"
100330D7 |. 68 5C120710 PUSH skinppwt.1007125C ; |Operation = "open"
100330DC |. 6A 00 PUSH 0 ; |hWnd = NULL
100330DE |. FF15 3C840510 CALL DWORD PTR DS:[<&SHELL32.ShellExecut>; /ShellExecuteA
100330E4 |> 8B4D F4 MOV ECX,DWORD PTR SS:[EBP-C]
100330E7 |. 64:890D 000000>MOV DWORD PTR FS:[0],ECX
100330EE |. C9 LEAVE
100330EF /. C3 RETN
最让人讨厌的是这句:
100330BF |. E8 B7F10000 CALL SkinPPWT.1004227B
跟进去就能看到是一个函数MessageBoxIndirect调用.
直接NOP掉。
接着看下面这个:
100330CA |. 75 18 JNZ SHORT skinppwt.100330E4
jump掉:
100330CA . EB 18 JMP SHORT SkinPPWT.100330E4
这里查找75 18的时候可以把上下文加上,这样:83 F8 06 75 18 6A 05然后替换为83 F8 06 EB 18 6A 05即可。
保存SkinPPWTL.dll。拷贝到两个地方:skin++安装目录的VCcases/Bin目录下和windows目录的system32目录下。
*[软件服务破解]:
有了这个skin++,当然是需要更多皮肤了,而软件本身只提供了不到10张。而正版的用户才能下载官方网站上的皮肤。不管那么多,我到官方网站转了一圈,分析了下网站下载链接,发现了一个好玩的东西。可以通过下面的方法下载到更多的皮肤:
用迅雷新建批量下载任务,这样:
http://www.uipower.com/skindown/hit.asp?id=(*)
(*) 范围115-160。
下载...正常应该能拿到50多张皮肤...Enjoy!
上面是网友gz1X写的部分,我试验了,破解很成功,达到了去掉每次启动程序都弹出的询问注册的CMessageDialog,但是我想加点个人认为有必要的东西:
1、使用的调试软件:
软件:OllyICE
下载链接:http://www.pediy.com/tools/Debuggers/ollydbg/OllyICE.rar
2、软件的使用:
入门可参考:http://hi.baidu.com/hack1015/blog/item/877eef2426bd43034c088d12.html
选择打开要破解的SkinPPWTL.dll文件之后按上述步骤完成修改之后,就有一个保存修改的问题,我在使用的时候找遍了整个菜单栏,硬是没有发现有保存修改这个项的存在,后来发现操作方法如下:
a.被修改处右击,选择“复制到可执行文件”,选择“所有修改”
b.出现提示框“把选中的内容复制到可执行文件”,选择“全部复制”
c.弹出一个新的窗口,直接点X,关闭该子窗口,提示“文件已更改”,选择“是”,再弹“另存为”框,此时不要做任何修改,切记不可改文件名,接着提示“文件已存在”,问是否覆盖,点“是”,覆盖原文件,关闭OllyICE,打完收功。
到此,对于达到最终目的来说,软件的这些操作已经足够,但程序使用后依然存在一个严重问题:程序所有窗口的标题栏右边都有“SKIN++ UNREGISTERED!!!”字样,这样对于一个程序员来说,无异于没做,然而网友gz1X没有将此问题完善。经过调试,终于成功破解,操作步骤如下:
a.在反汇编窗口中右击,出来一个菜单,我们在 查找->所有参考文本字串 上左键点击
b.现在出来另一个对话框,我们在这个对话框里右击,选择“查找文本”菜单项,输入“SKIN++ UNREGISTERED!!!”(注意这里查找内容要区分大小写)来查找,找到一处,位置在 008DACE2.
c.在此行,汇编指令为:push 00920784,这条指令用于将“SKIN++ UNREGISTERED!!!”所在的内存地址传递给子程序,我们只需要将这个地址修改一下就可以改变显示的字符了,这个字符串一共22个字符,压栈的地址最后两位84+22=A6,于是我们将这条指令改为:push 009297A6,保存,退出。
再试试,问题是不是已经解决?
非常漂亮滴皮肤skin++ 终极破解之法的更多相关文章
- skin++ 终极破解之法
*[标题]:Skin++通用界面换肤系统V2.0.1破解探讨 *[作者]:gz1X <gz1x(at)tom(dot)com> *[来自]:中国黑客联盟 *[前言]: skin技术,大家都 ...
- XBMC源代码分析 2:Addons(皮肤Skin)
前文已经对XBMC源代码的整体架构进行了分析: XBMC源代码分析 1:整体结构以及编译方法 从这篇文章开始,就要对XBMC源代码进行具体分析了.首先先不分析其C++代码,分析一下和其皮肤相关的代码. ...
- 【Xamarin挖墙脚系列:Xamarin的终极破解步骤(更新)】
前面文章中,我们可以找到对应版本的补丁. Xamarin的 4.0.1717 版本,在补丁的地址中,有作者整理的全部的安装包.迅雷磁力贴: magnet:?xt=urn:btih:9FD298AA61 ...
- IntelliJ IDEA 终极破解
1. 下载破解补丁(JetbrainsCrack-2.6.10-release-enc.jar): http://idea.lanyus.com/jar/JetbrainsCrack-2.6.10-r ...
- 意法STM32F1系列MCU单片机解密芯片破解复制
意法STM32F1系列MCU单片机解密芯片破解复制 STM32F1系列MCU芯片解密: STM32F100解密 | STM32F101解密 | STM32F102解密 | STM32F103解密 | ...
- 如何自己绘制fcitx4输入法皮肤?
先来给大家看看我自己修改后的结果 当然你可以自己设计,自己定义喜欢的颜色和样式 但是注意,这个教程仅仅针对使用fcitx皮肤面板的输入法,例如rime.sunpinyin等. 搜狗输入法.讯飞输入法. ...
- 怎样破解邮箱password
破解邮箱password怎样破解邮箱password邮箱在我们的生活中日益成为一个不可或缺的角色.公司与公司之间的商贸往来,学生与老师间的学习交流,以及占非常大部分的私人信件的往来等等非常难离开它.但 ...
- EUI EXML内部类Skin和ItemRenderer
没认真看过...现在试试... EXMl支持内部类 两种支持做为内部类的:Skin和ItemRenderer 优点: 这种最大的好处就是皮肤如果只用一次,不需要单独写成一个exml文件,只需要写在组件 ...
- 当面对会反制遭破解装置的App该如何顺利提取数据
在检测App的过程之中,总会遇到比较棘手的,以”侦测是否遭破解的装置”为例,便会是个不好处理的状况.当App具备侦测装置是否已遭Root时,一旦发现装置已遭破解,便会停止运行,等于是只准安装及运行在未 ...
随机推荐
- 第十一章 dubbo通信框架-netty4
netty4是2.5.6引入的,2.5.6之前的netty用的是netty3.在dubbo源码中相较于netty3,添加netty4主要仅仅改了两个类:NettyServer,NettyClient. ...
- C#实现json的序列化和反序列化
在做asp.net和unity进行http通信的时候,当unity客户端发出表单请求的时候,我要将他要请求的数据以json的格式返回给客户端,让客户端来解析.服务器端这一块就涉及到json的序列化和反 ...
- 添加PMD插件扫描潜在的bug
上一节使用checkstyle来规范你的项目主要解决了代码编码规范问题,比如缩进换行等.这次继续代码健康工具类PMD. 什么是PMD PMD真的不像checkstyle这样的东西所见即所得啊,去官网找 ...
- Android -- onAttachedToWindow()
onAttachedToWindow在Activity生命周期中的位置 放大招: onAttachedToWindow不能在onCreate中哟~ View view = getWindow().ge ...
- mysql的sql分页函数limit使用 (转)
http://www.cnblogs.com/beijingstruggle/p/5631603.html mysql的sql分页函数limit使用 My sql数据库最简单,是利用mysql的LIM ...
- bash shell中可以使用wait
https://jingyan.baidu.com/article/b907e6278fbd8946e7891c17.html ==================================== ...
- Docker创建MySQL容器环境两部曲
1:下载MySQL镜像 需要执行以下命令,确保主机或者VM联网,从官网下载mysql的最新镜像(镜像版本以官网为主) docker pull mysql 下载成功后执行 docker image ...
- MongoDB的Invalid credentials for database
前面都好好的,结果服务器数据库加了一个验证,查了一下,也不算复杂,只要把连接串一改就行了. 结果,不断报错——Invalid credentials for database 找了半天原因,原来是我用 ...
- Python标准库:内置函数type(object)
type(object) type(name, bases, dict) 本函数是返回对象的类型对象.仅仅有一个參数object时,直接返回对象的类型对象.假设仅仅是想推断一个对象是否属于某一个类的对 ...
- ArcGIS 后台服务器抛出异常
ArcGIS工具箱是一个非常经典的工具应用,它就像一个做过很多项目.技术不断丰富的大神.以至于,现在ESIR与ITT公司合作,搞得新版的ENVI都有工具箱这样的界面了. 抛出异常 并不是每一个问题都能 ...