如何下重启验证的断点?
今天在天空下载了2个软件,试着分析,发现软件注册时把注册码都写进一个文本文档,是重启验证类型的,而且写入时用的API函数为WritePrivateProfileStringW,我用GetPrivateProfileStringW/A和CreateFile断点都断不下来,郁闷,希望高手指点一下?OD载入时,入口为:
0041B6D6 >55 push ebp
0041B6D7 8BEC mov ebp,esp
0041B6D9 6A FF push -1
0041B6DB 68 681B4200 push 1.00421B68
0041B6E0 68 EEB84100 push <jmp.&MSVCRT._except_handler3>
0041B6E5 64:A1 00000000mov eax,dword ptr fs:
0041B6EB 50 push eax
0041B6EC 64:8925 0000000>mov dword ptr fs:,esp
0041B6F3 83EC 68 sub esp,68
0041B6F6 53 push ebx
0041B6F7 56 push esi
0041B6F8 57 push edi
0041B6F9 8965 E8 mov dword ptr ss:,esp
0041B6FC 33DB xor ebx,ebx
0041B6FE 895D FC mov dword ptr ss:,ebx
0041B701 6A 02 push 2
0041B703 FF15 58E04100 call dword ptr ds:[<&MSVCRT.__set_app_ty>; MSVCRT.__set_app_type
0041B709 59 pop ecx
0041B70A 830D 48424200 F>or dword ptr ds:,FFFFFFFF
0041B711 830D 4C424200 F>or dword ptr ds:,FFFFFFFF
0041B718 FF15 54E04100 call dword ptr ds:[<&MSVCRT.__p__fmode>] ; MSVCRT.__p__fmode
0041B71E 8B0D 14424200 mov ecx,dword ptr ds:
0041B724 8908 mov dword ptr ds:,ecx
0041B726 FF15 50E04100 call dword ptr ds:[<&MSVCRT.__p__commode>; MSVCRT.__p__commode
0041B72C 8B0D 10424200 mov ecx,dword ptr ds:
0041B732 8908 mov dword ptr ds:,ecx
0041B734 A1 4CE04100 mov eax,dword ptr ds:[<&MSVCRT._adjust_f>
0041B739 8B00 mov eax,dword ptr ds:
Peid查壳为:Microsoft Visual C++ 6.0
软件下载地址:http://www.skycn.com/soft/59177.html#downUrlMap
http://www.skycn.com/soft/40451.html
希望高手试试,看看如何下断点,才能找到重启验证的关键地方? 自己顶自己,期待高手 我是低手,不会。
老万的帖子,帮顶。
页:
[1]