武汉新手 发表于 2007-11-14 14:13:03

内存改机器玛问题

一个软件

是读取本机的文件进行注册的


我把 机器玛在内存中

改的和 注册文件一样了?

为什么还没注册?别的就可以?/:L

[ 本帖最后由 武汉新手 于 2007-11-14 14:19 编辑 ]

yyjpcx 发表于 2007-11-14 18:29:55

如果是自己想学习的话
BP CreateFileA

武汉新手 发表于 2007-11-15 11:44:59

原帖由 yyjpcx 于 2007-11-14 18:29 发表 https://www.chinapyg.com/images/common/back.gif
如果是自己想学习的话
BP CreateFileA


跟到了 关键代码全部是CALL 不知道如何暴掉啊/:L


楼上的老哥能告诉下暴破点给小弟分析下么

tigerisme 发表于 2007-11-15 15:42:48

文件不全,没办法帮你看..
另外把你的分析过程贴出来,然后再来讨论.禁止变相求CR

武汉新手 发表于 2007-11-15 17:15:12

OD载入下断

BP CreateFileA F9运行后堆载显示

0012EEA8   00504FE2/CALL 到 CreateFileA 来自 1.00504FDC
0012EEAC   00B539E8|FileName = "C:\Documents and Settings\Administrator\",D7,"烂鎈wuji.part1\wuji.lic"
0012EEB0   80000000|Access = GENERIC_READ
0012EEB4   00000000|ShareMode = 0



读wuji.lic 文件内容判断是否注册
ALT+F9 返回到
00504FE2    83F8 FF         cmp   eax, -1//返回到这里
00504FE5    75 35         jnz   short 0050501C   //如有有文件就跳,没有就挂
00504FE7    8B75 10         mov   esi, dword ptr
00504FEA    85F6            test    esi, esi
00504FEC    74 1D         je      short 0050500B
00504FEE    FF15 D8425100   call    dword ptr [<&KERNEL32.GetLastErr>; ntdll.RtlGetLastWin32Error
00504FF4    50            push    eax
00504FF5    8946 0C         mov   dword ptr , eax
00504FF8    E8 B91A0000   call    00506AB6
00504FFD    FF75 08         push    dword ptr
00505000    8D4E 10         lea   ecx, dword ptr
00505003    8946 08         mov   dword ptr , eax
00505006    E8 2E3AFEFF   call    004E8A39


然后返回到就到了关键代码区域?新手?

什么都看不懂了。。请个高人继续分析/:L

武汉新手 发表于 2007-11-17 13:01:00

来个人帮我解答下啊?/:L

chinazb 发表于 2008-3-7 08:59:14

呵呵~问题有点复杂 啊

maokecheng 发表于 2008-3-9 09:48:14

,GetDlgItem,这个试试看
页: [1]
查看完整版本: 内存改机器玛问题