网站 › 『 软件逆向 』 › Multi-Edit 2006 简单分析

Nisy 发表于 2007-8-12 01:44:59

Multi-Edit 2006 简单分析

Multi-Edit 2006 简单分析

不要问我这软件是做什么的，我也不知道:loveliness:jjdg兄弟让我帮看一下，谁知道是E文的:(从官方下载都比较复杂：http://www.multiedit.com/。发个邮件之类的，然后官方送一个试用一月的KEY，安装的时候需要添写这个东西：
Serial Number: EV2K6-ES7J00201U201
Release Code: C85F 7920 91C3 AC4A

安装完毕后，我一看这不注册了吗？后来jjdg兄弟才告诉我下边有一行日期的红字



他说你把日期后调一下试下，一试，果然挂了，把时间调回吧。结果无效，软件还没出试用期也无法运行了。你说气人不气人，所以我就锁定这个框框了，一定干掉他。





注册后，发现生成这样一个文件：MeUser.dat，里边就是这些数据：
7E680EE2AFCD9336
EV2K6-ES7J00201U201
576989F0B7672AE4
F39438C5BDA13545
720318C43C92971E
D7D07DB93E9574F9

然后就下这个断点，在程序启动的时候断到： BP CreateFileA

0012FE5C   4000D55E/CALL 到 CreateFileA 来自 rtl60.4000D559
0012FE60   00A994AC|FileName = "C:\Program Files\Multi-Edit 2006\MeUser.dat"
0012FE64   80000000|Access = GENERIC_READ
0012FE68   00000001|ShareMode = FILE_SHARE_READ
0012FE6C   00000000|pSecurity = NULL
0012FE70   00000003|Mode = OPEN_EXISTING
0012FE74   00000080|Attributes = NORMAL
0012FE78   00000000\hTemplateFile = NULL
0012FE7C   00A90020ASCII "l method"
0012FE80   00A994ACASCII "C:\Program Files\Multi-Edit 2006\MeUser.dat"

F8几次后，返回到程序领空：

00425DE3   .55            PUSH EBP
00425DE4   .68 C25E4200   PUSH Mew32.00425EC2
00425DE9   .64:FF30       PUSH DWORD PTR FS:
00425DEC   .64:8920       MOV DWORD PTR FS:,ESP
00425DEF   .8B45 EC       MOV EAX,DWORD PTR SS:
00425DF2   .8B50 34       MOV EDX,DWORD PTR DS:
00425DF5   .8BC3          MOV EAX,EBX
00425DF7   .8B08          MOV ECX,DWORD PTR DS:
00425DF9   .FF51 68       CALL DWORD PTR DS:
00425DFC   .8D55 F0       LEA EDX,DWORD PTR SS:            ;返回到这里
00425DFF   .8B45 EC       MOV EAX,DWORD PTR SS:
00425E02   .E8 C5020000   CALL Mew32.004260CC
00425E07   .8D4D DC       LEA ECX,DWORD PTR SS:
00425E0A   .8B45 EC       MOV EAX,DWORD PTR SS:
00425E0D   .8B40 38       MOV EAX,DWORD PTR DS:
00425E10   .BA 01000000   MOV EDX,1
00425E15   .8B18          MOV EBX,DWORD PTR DS:
00425E17   .FF53 0C       CALL DWORD PTR DS:
00425E1A   .8B55 DC       MOV EDX,DWORD PTR SS:            ;取字符串EV2K6-ES7J00201U201
00425E1D   .8B45 EC       MOV EAX,DWORD PTR SS:
00425E20   .83C0 04       ADD EAX,4
00425E23   .E8 80B3FDFF   CALL <JMP.&rtl60.System::LStrAsg>
00425E28   .8D4D D8       LEA ECX,DWORD PTR SS:
00425E2B   .8B45 EC       MOV EAX,DWORD PTR SS:
00425E2E   .8B40 38       MOV EAX,DWORD PTR DS:
00425E31   .BA 03000000   MOV EDX,3
00425E36   .8B18          MOV EBX,DWORD PTR DS:
00425E38   .FF53 0C       CALL DWORD PTR DS:
00425E3B   .8B55 D8       MOV EDX,DWORD PTR SS:            ;取字符串F39438C5BDA13545
00425E3E   .8B45 EC       MOV EAX,DWORD PTR SS:
00425E41   .83C0 0C       ADD EAX,0C
00425E44   .E8 5FB3FDFF   CALL <JMP.&rtl60.System::LStrAsg>
00425E49   .8D4D E0       LEA ECX,DWORD PTR SS:
00425E4C   .8B45 EC       MOV EAX,DWORD PTR SS:
00425E4F   .8B40 38       MOV EAX,DWORD PTR DS:
00425E52   .BA 04000000   MOV EDX,4
00425E57   .8B18          MOV EBX,DWORD PTR DS:
00425E59   .FF53 0C       CALL DWORD PTR DS:
00425E5C   .8D55 E4       LEA EDX,DWORD PTR SS:
00425E5F   .B9 08000000   MOV ECX,8
00425E64   .8B45 E0       MOV EAX,DWORD PTR SS:            ;取字符串720318C43C92971E
00425E67   .E8 68EDFFFF   CALL Mew32.00424BD4
00425E6C   .8D55 E4       LEA EDX,DWORD PTR SS:
00425E6F   .8D45 F0       LEA EAX,DWORD PTR SS:
00425E72   .33C9          XOR ECX,ECX
00425E74   .E8 BFEFFFFF   CALL Mew32.00424E38
00425E79   .8D4D D4       LEA ECX,DWORD PTR SS:
00425E7C   .8D45 E4       LEA EAX,DWORD PTR SS:
00425E7F   .BA 08000000   MOV EDX,8
00425E84   .E8 DFECFFFF   CALL Mew32.00424B68
00425E89   .8B55 D4       MOV EDX,DWORD PTR SS:            ;取字符串C85F792091C3AC4A
00425E8C   .8B45 EC       MOV EAX,DWORD PTR SS:
00425E8F   .83C0 08       ADD EAX,8
00425E92   .E8 11B3FDFF   CALL <JMP.&rtl60.System::LStrAsg>
00425E97   .8D4D D0       LEA ECX,DWORD PTR SS:

我们看到去取了文件中的一些数据，取数据做什么呢，就是用来做注册判断的，我们看到数据都跑到了堆栈，在堆栈中数据上右键-跟随到数据窗口。我们来到数据窗口，在数据上下硬件访问断点。



00A9962045 56 32 4B 36 2D 45 53 37 4A 30 30 32 30 31 55EV2K6-ES7J00201U
00A9963032 30 31 00 22 00 00 00 01 00 00 00 10 00 00 00201."...
......
00A9964035 37 36 39 38 39 46 30 42 37 36 37 32 41 45 34576989F0B7672AE4
00A9965000 00 00 00 22 00 00 00 03 00 00 00 10 00 00 00....".........
00A9966046 33 39 34 33 38 43 35 42 44 41 31 33 35 34 35F39438C5BDA13545
00A9967000 00 00 00 22 00 00 00 02 00 00 00 10 00 00 00....".........
00A9968037 32 30 33 31 38 43 34 33 43 39 32 39 37 31 45720318C43C92971E
00A9969000 00 00 00 46 00 00 00 DC 95 A9 00 00 00 00 00....F...軙?....
00A996A020 96 A9 00 00 00 00 00 40 96 A9 00 00 00 00 00   柀.....@柀.....
00A996B060 96 A9 00 00 00 00 00 80 96 A9 00 00 00 00 00`柀.....

gxkm 发表于 2007-8-14 01:48:47

高手。。。。。。有空我也去试试

pojielong 发表于 2007-8-16 06:41:34

高手，学习了。写得不错

gao2008ss 发表于 2007-12-2 10:12:48

jdjb 发表于 2007-12-30 16:33:03

crc32 加密怎么破解的啊。。。没学过不懂，大侠赐教吧。。。

jonen 发表于 2007-12-31 16:05:55

好像是翻译软件..
哈...

anson2416 发表于 2008-2-17 23:29:09

看了
不明白哦

查看完整版本: Multi-Edit 2006 简单分析