Bye bye Visage Software's Visual Protect
v2.31 [2-August-2000] filesize:4.04mb
http://www.visagesoft.com
by meRlin 6-August 2000


我没见过任何软件用它来做保护，希望将来也不会碰到，不过破解它实在很有意思。
写这一小篇东西是为了：
1 - 记住自己是怎么做的。
2 - 希望告诉其他破解者如何处理这种保护。

用到的工具：
SoftIce 4.xx
Wdasm
Procdump
Hexeditor


作者的话：
Visage Software发布这个很专业的工具其对象是那些希望发布试用版软件的开发者。

Visual Protect是计算机软件电子商务的有效和实用的解决办法。它有着优美的界面，允许可能的用户在购买前试用你完整的软件。Visual Protect是一种强有力的工具，提供64位，有安全加密的出口许可，可在世界范围内销售。

它不和你程序通常功能发生关系，只是集中于维护一个安全的发布环境。Visual Protect的使用者可完全控制如何将程序提供给最终用户。
一旦文件或者程序由Visual Protect来保护并发布到您的用户手中，这种保护不能被移除。

好了好了！
我们中所有人都听说过这样的话：“现成的保护都是没用的!!”

对于VBox类的保护也是一样，我将显示如何修改它，使得任何被这种方法保护的程序可以获得全部功能，就算保护依旧存在，而"*.vpl"文件不存在时。第一步我将unpack/dump这个文件。

Visage Software显然相信自己的工作，Visual Protect自身用它自己来保护。（如果有人dump了它，Visual Protect自身就不会完全工作。）
当你启动了被保护的程序以后，Filemon或者Regmon就不能运行了。

提示！你可以在保护一个新的程序的同时运行他们。

用Notepad.exe来测试这个加壳的程序（先拷贝notepad!!）
运行Visual protect，你现在可以看见"Try/Buy"nag是如何查找它保护的程序的，按下"Try"
-生成新项目->下一步
在Trial Options
    -check number of days, fill with any encryptionkey you like ->next
    -you do not need to change anything here! ->next
    -Select notepad.exe and push "Apply"
   

加壳完毕后可见一些信息：

Protection applied:
1.The Protected application file(s):
-C:\Program Files\Visage Software\Visual
Protect\Notepad.exe
2.The backup file(s):
-C:\Program Files\Visage Software\Visual
Protect\Notepad.bak

Some more text and then:
To distribute the protected application, please make
The following changes to your installer:

1.replace your original executable(s) with:
  -C:\Program Files\Visage Software\Visual
  Protect\Notepad.exe

2.Add the Visual Protect file(s):
2. 加入Visual Protect文件到安装程序中：
  -C:\Program Files\Visage Software\Visual
  Protect\Notepad.vpl
  -C:\PROGRAM FILES\VISAGE SOFTWARE\VISUALPROTECT\VP.DLL
  To your installer

啊哈! 监视程序需要VP.DLL。

在Softice的symbol loader里面加载notepad.exe，按下"load exports"，然后查找VP.DLL，选择并按"load"....哦，入口处没停!
运行Procdump并观察notepad.exe的Sections，
按下"Sections"
除了.rsrc以外所有的sections都不见了，加入了两个新的：
.VDATA
.VCODE

我们应该将.VDATA的"characteristics"由C00000040改为E00000020，如此它就可以在入口处停下了(别被.VDATA的名字骗了)，改好后存盘退出。
再次加载symbol loader。进入第四个call，在其后0040FFA1处可见REPZ STOSD，STOSW和下面的几行->两个call(解壳/解密calls)和下面25-30多行有个CALL [USER32!CharUpperA]，把断点设在这个call后面的一个call，继续运行（F5） 知道它被断下，F10单步，你完成后会看到下面的东西：
:00410032    push dword ptr [00414A90]
        push eax
        lea eax, [ebp-0C]
        push eax
        CALL [VP![NONAME]] -intresting call!!
        mov eax, [ebp+08]
        pop edi
        pop esi
        pop ebx
        test eax, eax
        jz 0041005D
        mov ecx, [00414A90]
        add eax, ecx
        pop ebx
        leave
        ret

在call后面一行设断点，运行它! (F5)
我们的"nag"就在这里!

按下"Try"，softice将在call后的这行断下，看看什么东西放进了eax(000010CC=真正的程序入口)，下面几行放入ecx(00400000=Imagebase)，再下面几行add eax, ecx =004010CC。再往下走到reg，停下来做这些：

A EIP (return)
JMP EIP (return)
按下Esc退出汇编模式。

现在我们可以dump Notepad.exe了。按F5回到Windows运行procdump，找到notepad.exe一行，选中它，用鼠标右键dump (Full)，保存文件为Dumped.exe.

现在我们再一次右击notepad行，点"Kill task"退出notepad。按PE Editor找到dumped.exe，选中它，改入口点为100CC，点"OK"保存，点"Exit"退出Procdump.

我建议你将Dumped.exe放到一个空文件夹然后运行它，会有一个消息框告诉你VP.DLL不见了!拷贝VP.DLL进同一个目录，再次运行Dumped.exe，它可以工作了，也没了恼人的nag，只是仍旧说它需要DLL，谁还在乎呢？反正我不会! dumping后的一个缺点就是它的大小。
我不知道是否可能将其恢复到原来状态。
(我建议你也dump出VisualProtect.exe，如果你的计算机上日期被移走了。)

--第二步--
--找到我们的“破解处”--

正如我们以前看到的，如果软件是个Demo或者正式版，那个神秘的call里面有一些东西会被擦掉，我们跟进去看看。
直接到offset 00499BEC，或许你的机器上会不一样!
(检查最后偏移地址最后三位，如果一样，你应该也在这个位置了。)
:00499BEC    add eax, 64
        mov ecx, 00001000
        call 00432890
&nbs