原文发表在霏凡论坛
发表时间:2008-06-20 00:47:04
原标题:与其Skype之道还治其Skype之身
全文如下:
------------------------------
今天没事,突然想下Skype来玩玩
安装完毕,运行,结果提示“Skype is not compatible with system debuggers like SoftICE.”
真是郁闷,我不就是装过了SoftICE吗?再说我已经卸载了呀。看来是没有卸载干净。
于是注册表搜索了几番,删掉了几个键值。 再次打开Skype,仍然报错。
NND,一个普普通通的聊天工具而已。防人之心这么重。
网上搜索了一下一些办法,看着都是针对老版本的了。也没有细看。
总之是没有搜索到关于清干净SoftICE的办法。 还是考虑自己动手吧。
越是这种软件,越是看着不爽,虽然很想睡了,还是决定把它干掉了再睡。否则今夜难眠!
既然你防调试工具,那我就用调试工具把你干掉了!
无壳,OD载入。
F9运行,弹出提示框。
用F12大法,Alt+K,看到一个jmp
0013FF4C 00E54625 ? <jmp.&user32.MessageBoxA> Skype.00E54620 双击来到反汇编窗口
004090A8 $- FF25 5809E700 jmp dword ptr [<&user32.MessageBoxA>>; user32.MessageBoxA
单击这一行,下面友好提示:
ds:[00E70958]=7E4507EA (user32.MessageBoxA)
本地调用来自 00411B55, 00471BEA, 00494F9A, 00C6E681, 00E54620
在这些调用地址上右键,可以直达到这些跳转到弹出提示框的地址。
在这些地址中上向找找,如果上面附近有跳转跳过了那些Call,就把那些Jnz或者是Je,直接改成JMP,汇编代码就是74或者75改成EB,让它无条件跳转即可。具体的我就一一贴出了。实践下来,共3处的Call附近有跳转跳过了。
然后复制所有修改,保存文件。
再RUN一下修改过后的Skype,一切正常!
搞定!!
转载请注明:Linc Hu » 玩玩解密:反反调试Skype