QQ病毒专杀工具XP QQKav Build 20050223 2005元宵版
QQ病毒专杀工具XP QQKav Build 20050223 2005元宵版下载:http://www2.skycn.com/soft/14305.html
peid查显示yoda's cryptor 1.x / modified,od载入后隐藏,执行脱壳脚本,来到第2层壳入口
OD脱出来查查,是PEBundle 0.2 - 3.x -> Jeremy Collake
这个用esp定律一下来到程序入口,LordPE纠正文件大小后完全脱壳,再用ImportRec修复,OK了
壳脱了,现在来看看注册按钮的入口地址,可惜用dede分析后,东西太多,不好找
我直接用ResScope打开,查看RCData资源,查找"注册认证"
object QQKAV6: TsuiButton
Left = 120
Top = 75
Width = 73
Height = 22
Hint = '输入正确注册码后点此认证'
UIStyle = WinXP
Font.Charset = GB2312_CHARSET
Font.Color = clWindowText
Font.Height = -12
Font.Name = '宋体'
Font.Style = []
ShowHint = True
Caption = '注册认证'
AutoSize = False
ParentShowHint = False
ParentFont = False
TabStop = True
TabOrder = 0
Transparent = False
ModalResult = 0
Layout = blGlyphLeft
Spacing = 4
ResHandle = 0
MouseContinuouslyDownInterval = 100
OnClick = QQKAV6Click //好东西
end
004CC92C/. 55 PUSH EBP //找到入口就好办了,GoGoGo!!
004CC92D|. 8BEC MOV EBP,ESP
004CC92F|. B9 05000000 MOV ECX,5
004CC957|. E8 5853F7FF CALL 123.00441CB4
004CC95C|. 837D FC 00 CMP DWORD PTR SS:,0 //比较是否输入了用户名
004CC960|. 0F84 9C010000JE 123.004CCB02
当然这里是不会跳的,除非你的计算机没有名字 ^_^
004CC974|. 8B45 F8 MOV EAX,DWORD PTR SS: //看到假码前部分
004CC977|. 50 PUSH EAX
004CC978|. 8D45 F4 LEA EAX,DWORD PTR SS:
004CC97B|. 50 PUSH EAX ; /Arg1
004CC97C|. 8B83 E4030000MOV EAX,DWORD PTR DS: ; |
004CC982|. 8B80 80000000MOV EAX,DWORD PTR DS: ; |
004CC988|. 33C9 XOR ECX,ECX ; |
004CC98A|. 66:BA 2205 MOV DX,522 ; |
004CC98E|. E8 4DC6FFFF CALL 123.004C8FE0 ; \123.004C8FE0
004CC993|. 8B55 F4 MOV EDX,DWORD PTR SS: //这里,出现真码前部分
004CC996|. 58 POP EAX
004CC997|. E8 D481F3FF CALL 123.00404B70 //这里就是前部分的比较了
004CC99C|. 0F85 60010000JNZ 123.004CCB02 //跳走了就死翘翘
改Z标志继续走吧,可以看到后面和上面代码是一样的
004CC9B0|. 8B45 F0 MOV EAX,DWORD PTR SS:
004CC9B3|. 50 PUSH EAX
004CC9B4|. 8D45 EC LEA EAX,DWORD PTR SS:
004CC9B7|. 50 PUSH EAX ; /Arg1
004CC9B8|. 8B83 EC030000MOV EAX,DWORD PTR DS: ; |
004CC9BE|. 8B80 80000000MOV EAX,DWORD PTR DS: ; |
004CC9C4|. 33C9 XOR ECX,ECX ; |
004CC9C6|. 66:BA 2205 MOV DX,522 ; |
004CC9CA|. E8 11C6FFFF CALL 123.004C8FE0 ; \123.004C8FE0
004CC9CF|. 8B55 EC MOV EDX,DWORD PTR SS: //真码的后部分了
004CC9D2|. 58 POP EAX
004CC9D3|. E8 9881F3FF CALL 123.00404B70
004CC9D8|. 0F85 24010000JNZ 123.004CCB02
我用keymake做注册机时发现软件会关闭注册机,keymake上了黑名单
可以找到效验点,做个内存补丁,或者自己写一个内存注册机,再不然看看算法。。。。
最后看看软件还anti什么,还有作者送给crack的元宵节礼物!呵呵
http://www.popbase.net/bbs/UploadFile/2005-2/2005224122747808.gif
http://www.popbase.net/bbs/UploadFile/2005-2/2005224122747663.gif
THE END
[ 本帖最后由 tigerisme 于 2006-8-26 20:49 编辑 ] 支持原创的说!
ESP定律真是强啊 !! 这篇贴子在流行时代由aqtata 2005-2-24 12:28:00发布 不知 灵儿是马甲还是
抄袭的 ,两个人的破解过程总该有一些差别的,但我看见的一模一样。作何解释?
可要知道龙族的KuNgBiM就是因为抄袭别人的成果被取消龙族成员资格,这个事飘云是知道的。 灵儿就是aqtata 哈哈 原来如此 怪不得,我说小AQ怎么消失了! 值得我等菜鸟学习! 楼上的,对你无语了。顶贴玩?
页:
[1]