QQ好友群发机 2.53 内存注册机制作
【文章标题】: QQ好友群发机 2.53 内存注册机制作【文章作者】: 给你阳光
【作者邮箱】: [email protected]
【作者QQ号】: 195018614
【软件名称】: QQ好友群发机 2.53
【软件大小】: 1.47 MB
【下载地址】: http://www.skycn.com/soft/30042.html
【加壳方式】: ASPack
【保护方式】: 用户名+注册码+重启验证
【编写语言】: Delphi
【使用工具】: PEiD0.94 ,OD1.1
【操作平台】: Win9x/WinNT/Win2000/WinXP/...
【软件介绍】: 本软件是一款功能强大操作简便的QQ好友消息群发软件
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
1.PEiD0.94 查壳,得知使用的是ASPack保护,ESP定律脱壳。
2.运行脱壳后文件,并尝试注册,发现是重启验证方式。(刚刚输入的注册名和假码要牢记,便于后面的工作)
3.OD 载入,来到如下代码区域
004D8D34 > $55 PUSH EBP ;// 程序入口处
004D8D35 .8BEC MOV EBP,ESP
004D8D37 .83C4 F0 ADD ESP,-10
004D8D3A .53 PUSH EBX
004D8D3B .B8 B4884D00 MOV EAX,qqsender.004D88B4
004D8D40 .E8 CFDDF2FF CALL qqsender.00406B14
004D8D45 .8B1D DCC24D00 MOV EBX,DWORD PTR DS: ;qqsender.004DDC38
004D8D4B .8B03 MOV EAX,DWORD PTR DS:
4.分析ASCII 代码,因为是重启验证的方式,我们可以寻找一些比较“敏感”字符,譬如我找的是“- 未购买用户”
我们可以看到如下ASCII信息
004D818BMOV EDX,qqsender.004D828C Software\qqsender;// 很明显是注册表方式注册
004D819AMOV EDX,qqsender.004D82A8 RegUser ;// 用户名
004D81B6MOV EDX,qqsender.004D82B8 RegNo ;// 注册信息(在此处“回车”)
004D81C9MOV EDX,qqsender.004D82C8 qqsenderChina
004D820DMOV EDX,qqsender.004D82E0 - 未购买用户
004D82FEMOV ECX,qqsender.004D8330 提示
004D8303MOV EDX,qqsender.004D8338 本软件需要注册后才能无限制使用,
5.回车后,我们来到反汇编窗口,看到如下代码:
004D81B6 .BA B8824D00MOV EDX,qqsender.004D82B8 RegNo // F2 在此处下断
004D81BB .8BC3 MOV EAX,EBX
004D81BD .E8 36A5F8FFCALL qqsender.004626F8
004D81C2 .8B45 EC MOV EAX,DWORD PTR SS:
004D81C5 .50 PUSH EAX
6.F8 单步,如下代码(注意观察寄存器及堆栈窗口提示信息!)
004D81B6|.BA B8824D00 MOV EDX,qqsender.004D82B8 ;// F2 下断
004D81BB|.8BC3 MOV EAX,EBX
004D81BD|.E8 36A5F8FF CALL qqsender.004626F8
004D81C2|.8B45 EC MOV EAX,DWORD PTR SS: ;//获取假码
004D81C5|.50 PUSH EAX
004D81C6|.8D4D E8 LEA ECX,DWORD PTR SS:
004D81C9|.BA C8824D00 MOV EDX,qqsender.004D82C8 ;qqsenderChina
004D81CE|.A1 ECE44D00 MOV EAX,DWORD PTR DS:
004D81D3|.E8 CCDAFFFF CALL qqsender.004D5CA4 ;//用户名寄存器窗口出现可疑字符组合
004D81D8|.8B55 E8 MOV EDX,DWORD PTR SS:
004D81DB|.58 POP EAX ;//发现应该是真码
004D81DC|.E8 9BC7F2FF CALL qqsender.0040497C ;//比较真码 EDX 可尝试注册机
004D81E1|.75 07 JNZ SHORT qqsender.004D81EA
004D81E3|.C605 E8E44D00>MOV BYTE PTR DS:,1
004D81EA|>8BC3 MOV EAX,EBX
7.利用KeyMake 制作注册机
中断地址:4D81DC
中断次数:1
第一字节:E8
指令长度:5
内存方式→寄存器→EDX→保存→生成
8.其他:这类破解我们可以尝试一些比较敏感的字符信息,未必要使用诸多断点命令等。
--------------------------------------------------------------------------------
【经验总结】
没啥好说的,只是出于好奇而已。
利用同样的方法可以试试破解并制作其自带的“终极QQ消息群发大师”小工具的注册机。
--------------------------------------------------------------------------------
【版权声明】: 本文原创于 PYG技术 论坛, 转载请注明作者并保持文章的完整, 谢谢!
2008年09月18日 0:04:52 先看看,是最新的群发机吗? 明码比较的。呵呵
页:
[1]