轻松暴破键盘记录器 7.1小记
【文章标题】: 轻松暴破键盘记录器 7.1小记【文章作者】: 梦湾(云飘飘)
【作者邮箱】: xx
【作者主页】: xx
【作者QQ号】: xx
【软件名称】: 键盘记录器 7.1(2008年1月10日更新之版本)
【软件大小】: 142KB
【下载地址】: http://www.newhua.com/soft/50911.htm
【加壳方式】: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
【保护方式】: 加壳、一机一码
【编写语言】: Microsoft Visual C++ 6.0
【使用工具】: OD
【操作平台】: Win2000
【软件介绍】: 本软件能够将计算机用户的键盘输入及汉字输入全部记
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
武汉的天空,飘着漫天雪花。办公室中,偶斗志昂扬,因为多年来难得如此洋洋洒洒!
言归正传,开始今天的破解之旅。
运行本目录下的keyboardlog.exe,然后点"开起监控"。一分钟之后,冒出附后的烦人窗口!
以后每隔一分钟,该窗口会如期而至,显示在你的桌面中央。难道要掏Money注册?我可不愿意,再说此软件做得也不咋的。
遂自己动手,搞定算了。
UPX壳乃一弱壳,采用ESP定律可以轻松脱掉,这里不赘述。程序keyboardlog.exe不用管了,我们只需要狠狠地对monitor.exe
开刀就行。
OD载入,找到注册码提示处,分析之。可是偶分析不出来,可能是MD5加密。
算了。按F9让程序运行起来,一分钟之后,NAG窗口如窗外的雪花飘然而至。此时,在OD中按F12,让程序暂停。然后按
ALT+K打开堆栈窗口。
堆栈窗口显示
地址 堆栈 程序过程 / 参数 调用来自 结构
0012FC70 77DF5FA8 USER32.77DF154A USER32.77DF5FA3 0012FC90
0012FC94 00420EFE USER32.GetMessageA monitor.00420EF8 0012FC90
0012FC98 004383A8 pMsg = monitor.004383A8
0012FC9C 00000000 hWnd = NULL
0012FCA0 00000000 MsgFilterMin = 0
0012FCA4 00000000 MsgFilterMax = 0
0012FCB0 0041F40D 包含 monitor.00420EFE monitor.0041F40A
0012FCD4 0041CA74 monitor.0041F333 monitor.0041CA6F
0012FCD8 00000004 Arg1 = 00000004
在monitor.0041CA6F处点右键,选择【显式调用】(Show Call),来到这里:0041CA6F .E8 BF280000 CALL monitor.0041F333 ; \弹出警告窗
0041CA74 >397E 1C CMP DWORD PTR DS:,EDI
0041CA77 .74 2D JE SHORT monitor.0041CAA6
向上找找跳转:0041CA4B .E8 5FFCFFFF CALL monitor.0041C6AF
0041CA50 .3BC7 CMP EAX,EDI
0041CA52 .74 52 JE SHORT monitor.0041CAA6 ;改JMP即OK
0041CA54 .F646 24 10 TEST BYTE PTR DS:,10
0041CA58 .74 1A JE SHORT monitor.0041CA74 ;改JMP即OK
0041CA5A .6A 04 PUSH 4
0041CA5C .8BCE MOV ECX,ESI
0041CA5E .5B POP EBX
0041CA5F .E8 032F0000 CALL monitor.0041F967
0041CA64 .F6C4 01 TEST AH,1
0041CA67 .74 03 JE SHORT monitor.0041CA6C
0041CA69 .6A 05 PUSH 5
0041CA6B .5B POP EBX
0041CA6C >53 PUSH EBX ; /Arg1
0041CA6D .8BCE MOV ECX,ESI ; |
0041CA6F .E8 BF280000 CALL monitor.0041F333 ; \弹出警告窗
0041CA74 >397E 1C CMP DWORD PTR DS:,EDI
0041CA77 .74 2D JE SHORT monitor.0041CAA6
0041CA79 .68 97000000 PUSH 97 ; /Arg6 = 00000097
0041CA7E .57 PUSH EDI ; |Arg5
0041CA7F .57 PUSH EDI ; |Arg4
0041CA80 .57 PUSH EDI ; |Arg3
0041CA81 .57 PUSH EDI ; |Arg2
0041CA82 .57 PUSH EDI ; |Arg1
0041CA83 .8BCE MOV ECX,ESI ; |
0041CA85 .E8 C32F0000 CALL monitor.0041FA4D ; \monitor.0041FA4D
0041CA8A .EB 1A JMP SHORT monitor.0041CAA6
0041CA8C .8B4D DC MOV ECX,DWORD PTR SS:
0041CA8F .E8 CE4C0000 CALL monitor.00421762
0041CA94 .8B45 E4 MOV EAX,DWORD PTR SS:
0041CA97 .8348 2C FF OR DWORD PTR DS:,FFFFFFFF
0041CA9B .B8 A1CA4100 MOV EAX,monitor.0041CAA1
0041CAA0 .C3 RETN
0041CAA1 .8B75 E4 MOV ESI,DWORD PTR SS:
0041CAA4 .33FF XOR EDI,EDI
0041CAA6 >834D FC FF OR DWORD PTR SS:,FFFFFFFF
0041CAAA .397D E0 CMP DWORD PTR SS:,EDI
0041CAAD .74 0B JE SHORT monitor.0041CABA
发现0041CA52和0041CA58均可跳过警告窗。在此两处随便选择一处暴破即可。
暴破后,试运行,爽哉。NAG窗口不再来,整个世界清净了,呵呵~~
--------------------------------------------------------------------------------
【经验总结】
对付NAG窗口,原来采用【F12】【ALT+K】超级搭档,如此令人感觉爽!
--------------------------------------------------------------------------------
【版权声明】: 本文属于作者原创,目的在于给菜鸟一个简单的思路, 转载请注明作者并保持文章的完整, 谢谢!
2008年01月14日 12:44:05
[ 本帖最后由 云飘飘 于 2008-1-14 17:57 编辑 ] 总结一下,f12暂停然后去nag框。这方法不错 才从天草班学来的,呵呵~~ /:001 天草喜欢F12来搞。。。 F12是不错的方法啊,我都好喜欢用的/:013 学习了 !/:014 谢谢分享!:handshake :handshake 学习了~~/:good
不错~~~ 不错东西..
学习啦 学习了 !/:good
页:
[1]
2