lmg7005 发表于 2007-12-28 11:01:48

学习笔记一破解Advanced Find and Replace V1.2.3

语言种类:英文 版 本 号:1.2.3
文件大小:967 K 界面预览:暂无
发布日期:2000.06.17 软件类型:共享
系统平台:Win 95/98/NT
软件厂商:Roman Vasin
软件主页:http://vasin.hypermart.net/afr/
Advanced Find and Replace 说明信息      
正如软件名所表示的含义,它是一个强大的文本搜寻工具,同时提供了语法支持,可以定义搜寻的方式:文件类型、日期、大小、关键字等等。同时可以直接进行替换,实现某些批量操作。

http://download.enet.com.cn/html/070562000062201.html
打开看注册提示:"sorry, registration code is not correct"
好,下手!

先peid查壳:Borland Delphi 4.0 - 5.0
直接拖入OD!



超级字符串查找 :"sorry, registration code is not correct"

找到2处
第一处:00474956|.B8 E0494700   MOV EAX,AFR.004749E0                     ; |sorry, registration code is not correct
向上看
0047491F|.E8 54F5F8FF   CALL AFR.00403E78
00474924      75 25         JNZ SHORT AFR.0047494B                   不相等则跳            
00474926|.8BC6          MOV EAX,ESI
00474928|.E8 C7FCFFFF   CALL AFR.004745F4
0047492D|.6A 00         PUSH 0                                 ; /Arg1 = 00000000
0047492F|.66:8B0D A4494>MOV CX,WORD PTR DS:            ; |
00474936|.B2 02         MOV DL,2                                 ; |
00474938|.B8 B0494700   MOV EAX,AFR.004749B0                     ; |thank you very much for registration                                                                  注册成功0047493D|.E8 B6F5FDFF   CALL AFR.00453EF8                        ; \AFR.00453EF8
00474942|.C686 11030000>MOV BYTE PTR DS:,1
00474949|.EB 22         JMP SHORT AFR.0047496D
0047494B|>6A 00         PUSH 0                                 ; /Arg1 = 00000000
0047494D|.66:8B0D A4494>MOV CX,WORD PTR DS:            ; |
00474954|.B2 01         MOV DL,1                                 ; |
00474956|.B8 E0494700   MOV EAX,AFR.004749E0                     ; |sorry, registration code is not correct                                                             失败
0047495B|.E8 98F5FDFF   CALL AFR.00453EF8                        ; \AFR.00453EF8
00474960|.33DB          XOR EBX,EBX
00474962|.C686 11030000>MOV BYTE PTR DS:,0
00474969|.EB 02         JMP SHORT AFR.0047496D


第二处
00474BCA|.B8 4C4C4700   MOV EAX,AFR.00474C4C                     ; |sorry, registration code is not correct
向上看
00474B98   /75 25         JNZ SHORT AFR.00474BBF                   不相等则跳00474B9A|. |8BC3          MOV EAX,EBX
00474B9C|. |E8 53FAFFFF   CALL AFR.004745F4
00474BA1|. |6A 00         PUSH 0                                 ; /Arg1 = 00000000
00474BA3|. |66:8B0D 104C4>MOV CX,WORD PTR DS:            ; |
00474BAA|. |B2 02         MOV DL,2                                 ; |
00474BAC|. |B8 1C4C4700   MOV EAX,AFR.00474C1C                     ; |thank you very much for registration                                                                注册成功
00474BB1|. |E8 42F3FDFF   CALL AFR.00453EF8                        ; \AFR.00453EF8
00474BB6|. |C683 11030000>MOV BYTE PTR DS:,1
00474BBD|. |EB 1C         JMP SHORT AFR.00474BDB
00474BBF|> \6A 00         PUSH 0                                 ; /Arg1 = 00000000
00474BC1|.66:8B0D 104C4>MOV CX,WORD PTR DS:            ; |
00474BC8|.B2 01         MOV DL,1                                 ; |
00474BCA|.B8 4C4C4700   MOV EAX,AFR.00474C4C                     ; |sorry, registration code is not correct                                                             注册失败


看到两个关键的00474924      75 25         JNZSHORT AFR.0047494B
00474B98   /75 25         JNZ SHORT AFR.00474BBF         

注册码不对就直接跳转到注册不成功上!
我就修改JNZ----->JZ 相等则跳!
随便输入的肯定是不正确的码,所以应该跳!
但是你如果输入对了,是不是就不跳了(呵呵,自己没有测试)
然后保存所有修改!
进入后提示注册成功!


请大家指正!

[ 本帖最后由 lmg7005 于 2007-12-28 11:14 编辑 ]

leisurely 发表于 2011-9-30 11:25:28

学习了,谢谢分享破文~~~~~
页: [1]
查看完整版本: 学习笔记一破解Advanced Find and Replace V1.2.3