508 发表于 2009-4-4 12:22:18

奇怪的E语言程序,已进入程序领空查到了关键字符串,却找不到关键跳,求大侠帮忙分析

【文章标题】: 奇怪的E语言程序,已进入程序领空查到了关键字符串,却找不到关键跳,求大侠帮忙分析
【文章作者】: 颜峰
【作者邮箱】: [email protected]
【作者QQ号】: 8962919
【软件名称】: 淘宝信使V7.9
【软件大小】: 552K
【下载地址】: http://www.qfsoft.net/xzq/taobaosetup.exe
【加壳方式】: 未加壳
【保护方式】: 无保护
【使用工具】: OD
【作者声明】: 只是对易语言的程序感兴趣,学习,交流
--------------------------------------------------------------------------------
【详细过程】
OD载入后,在ECODE上下断点,断下后F8进入了程序领空,查找ASCII码

0044556B   push dump_.0040439E                     用户:
004455F9   push dump_.004043A4                     10
0044562B   push dump_.004043A7                     taobao\dl\
00445651   push dump_.004043B2                     真
004456A0   push dump_.004043B5                     taobao\dl\1
004456F0   push dump_.004043C1                     taobao\dl\2
00445778   push dump_.004043CD                     注意:你上次使用了代理设置,要改变请点菜单里的代理设置。
00445799   mov eax,dump_.00404406                  tb.edb
00445930   push dump_.00404415                     数据库损坏。
00445981   push dump_.00404422                     淘宝网.edb
004459CE   push dump_.0040442D                     12345
004459DA   push dump_.00404433                     lovecagsitn\taobao\fvbhryh-wstqyb
00445A1D   push dump_.00404455                     *未注册版
00445A6F   push dump_.004034BF                     \n\n
00445A7A   push dump_.0040445F                     你使用的是未注册版。 未注册版将全部发送给自己登录发送的那个id。请另去网页查看。\n\n注意:由于未注册版,因此最好使用注册版进行大面积发送。不管是否注册.本作者都在qq给于指导 :
00445B15   add esp,28                              (初始 cpu 选择)
00445E1C   push dump_.004034BF                     \n\n
00445E6F   push dump_.004034BF                     \n\n
00445F22   push dump_.004036FC                     /
00446000   push dump_.004036FC                     /
0044620C   push dump_.004034BF                     \n\n
00446590   push dump_.0040450B                     存
004466A3   push dump_.004034BF                     \n\n
004466F6   push dump_.004034BF                     \n\n
004467A9   push dump_.004036FC                     /
00446887   push dump_.004036FC                     /
00446A4F   push dump_.004034BF                     \n\n
00446C1D   push dump_.0040450E                     如果你在搜索或发送中请不要操作本项。是否继续,按是继


双击 “*未注册版”这一行来到下面:

http://www3.tx8.cn/photo/fengy858/信使.jpg

这行上面不远处虽然有个JE跳转,可是并没有跳过“*未注册版”这一行的代码,改标志试过也没有用

再双击字符串查找中的“你使用的是未注册版。未注册版将全部发送给自已登录发送的那个ID”这一下,来到下面:

http://www3.tx8.cn/photo/fengy858/信使2.jpg

这里跟上面的也是一样,虽然上面不远有个JE跳转,可也没有跳过未注测的提示。

非常郁闷了,试着跟进附近的几个CALL也找不到结果,求助诸位大侠帮助一下新手,分析一下问题出在哪里。。。谢谢了。。。

--------------------------------------------------------------------------------
【版权声明】: 本文原创

                                                       2009年04月04日 12:20:04

Luckly 发表于 2009-4-4 13:47:16

出门看看天...你就能看得更远 就能看到关键跳了

gsmcall 发表于 2009-4-4 13:47:49

贴出软件给大家分析下

508 发表于 2009-4-4 14:01:52

下载地址在这里

【下载地址】: http://www.qfsoft.net/xzq/taobaosetup.exe

508 发表于 2009-4-4 14:02:56

版主能指点一下吗,我也把远一点的上面和下面的CALL都看了,也找不到啊

版主能指点一下吗,我也把远一点的上面和下面的CALL都看了,也找不到啊

as3852711 发表于 2009-4-4 16:04:45

这个鬼东西有网络认证,一点要在启动是找到关键点给爆破点才行.算法都好好像没用啊!/:L /:L /:L

wan 发表于 2009-4-4 16:36:13

试用版吧,有未注册,没看到已注册哦

508 发表于 2009-4-4 16:54:15

不是试用版的,是注册版,显示有机器码,输入注册信息后进行重启验证的

939372735 发表于 2009-4-4 17:28:33

Demo
.
.

Luckly 发表于 2009-4-4 19:21:33

下来一看的确是个 Demo版不用花心思破解了/
页: [1] 2
查看完整版本: 奇怪的E语言程序,已进入程序领空查到了关键字符串,却找不到关键跳,求大侠帮忙分析