【求助】关于追USBKiller的注册码以及写内存注册机的问题
软件下载地址http://www.easysofts.com.cn/
下载查壳:UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo
很简单ESp定律 一下就脱了,但是不能运行,OK,修复之后就好了!
然后OD载入脱壳并修复好的程序
右键 Ultra String Reference 然后Find ASCII:未注册双击到地址
004E20D8/$55 push ebp 这里下断,然后F8单步
004E20D9|.8BEC mov ebp, esp
004E20DB|.33C9 xor ecx, ecx
004E20DD|.51 push ecx
004E20DE|.51 push ecx
004E20DF|.51 push ecx
004E20E0|.51 push ecx
004E20E1|.51 push ecx
004E20E2|.51 push ecx
004E20E3|.53 push ebx
004E20E4|.56 push esi
004E20E5|.57 push edi
004E20E6|.8BD8 mov ebx, eax
004E20E8|.33C0 xor eax, eax
004E20EA|.55 push ebp
004E20EB|.68 0C224E00 push 004E220C
004E20F0|.64:FF30 push dword ptr fs:
004E20F3|.64:8920 mov dword ptr fs:, esp
004E20F6|.B2 01 mov dl, 1
004E20F8|.A1 54E84D00 mov eax, dword ptr
004E20FD|.E8 A6C7FFFF call 004DE8A8
004E2102|.8BF0 mov esi, eax
004E2104|.8D55 F4 lea edx, dword ptr
004E2107|.8BC6 mov eax, esi
004E2109|.E8 62CBFFFF call 004DEC70
004E210E|.8B55 F4 mov edx, dword ptr
这里,机器码已经显示出来
堆栈 ss:=00A4DE7C, (ASCII "C3C3A818D95262")
edx=004E75CC (USBKille.004E75CC)
但是这样下去却怎么也追不到注册码
请各位大大帮忙
最好能写篇分析出来 不是所有的程序都能追出注册码,也就是明码的..
还是要分析一下算法,或直接爆掉它! 这个是,明码的
但是我追不出来
004CD00C 55 PUSH EBP
004CD00D 68 5CD04C00 PUSH USBKille.004CD05C
004CD012 64:FF30 PUSH DWORD PTR FS:
004CD015 64:8920 MOV DWORD PTR FS:,ESP
004CD018 8D55 FC LEA EDX,DWORD PTR SS:
004CD01B 8BC3 MOV EAX,EBX
004CD01D E8 0E030000 CALL USBKille.004CD330
004CD022 8B45 FC MOV EAX,DWORD PTR SS:
004CD025 50 PUSH EAX
004CD026 8D55 F8 LEA EDX,DWORD PTR SS:
004CD029 8BC3 MOV EAX,EBX
004CD02B E8 3C000000 CALL USBKille.004CD06C
004CD030 8B55 F8 MOV EDX,DWORD PTR SS: //这里注册码就出来了
这个是一位看雪的朋友写的,但是我不知道如何分析道这里
版主知道吗?希望版主帮我
[ 本帖最后由 gujin162 于 2007-10-16 21:10 编辑 ] 可以下注册表断点,返回程序领空,然后需要耐心一步步去追了...
这里经验很重要,有些时候需要凭感觉的/:001 这个。。
先支持下楼上的回答,感觉好啊/:001
另:龙那里已经公布破解了/:018 原帖由 samisgod 于 2007-10-16 22:50 发表 https://www.chinapyg.com/images/common/back.gif
这个。。
先支持下楼上的回答,感觉好啊/:001
另:龙那里已经公布破解了/:018
汗~
龙族那里的破解是我发的
我只是根据某高手告诉我的断点下做出的注册机
实际上我还是没有能追出来
[ 本帖最后由 gujin162 于 2007-10-17 09:04 编辑 ] 原帖由 tigerisme 于 2007-10-16 22:07 发表 https://www.chinapyg.com/images/common/back.gif
可以下注册表断点,返回程序领空,然后需要耐心一步步去追了...
17796
17797
这里经验很重要,有些时候需要凭感觉的/:001
我也看了很多关于重起验证的破文
但是
这个软件在运行输入:regedit
之后查找,在注册表找不到任何信息 原帖由 gujin162 于 2007-10-17 09:05 发表 https://www.chinapyg.com/images/common/back.gif
我也看了很多关于重起验证的破文
但是
这个软件在运行输入:regedit
之后查找,在注册表找不到任何信息
下注册表中断后返回,然后f8跟下去,你就会找到出现注册码的地方,不过需要耐心..
感觉和经验很重要,这里好象没什么特别的技巧,自己尝试一下. 004D0822 8BF0 mov esi, eax
004D0824 8D55 F4 lea edx, dword ptr
004D0827 8BC6 mov eax, esi
004D0829 E8 92C8FFFF call 004CD0C0
004D082E 8B55 F4 mov edx, dword ptr
004D0831 8B83 90040000 mov eax, dword ptr
004D0837 E8 CC58F9FF call 00466108
004D083C 8BC6 mov eax, esi
004D083E E8 BDC7FFFF call 004CD000
004D0843 2C 01 sub al, 1
004D0845 72 0D jb short 004D0854
004D0847 2C 02 sub al, 2
004D0849 0F84 89000000 je 004D08D8
004D084F E9 A9000000 jmp 004D08FD004D083E E8 BDC7FFFF call 004CD000
这个callF7进去就能看到注册码...
[ 本帖最后由 zzage 于 2007-10-17 11:03 编辑 ] 那关键call该如何找呢?
页:
[1]
2