网站 › 『 新手求助 』 › 帮忙看看这个软件（重启认证的）

hxssjy 发表于 2011-5-19 21:38:52

帮忙看看这个软件（重启认证的）

http://u.115.com/file/clc5jcun#
局域网抢答器V2.0.rar
有加壳，壳是ASPack 2.12 -> Alexey Solodovnikov，我的压缩内有一个已脱壳，脱壳后是Borland Delphi 6.0 - 7.0。
用什么断点都断不下来是怎么回事啊！
脱壳用OD打开
005886B0 > $55            push    ebp
005886B1   .8BEC          mov   ebp, esp
005886B3   .83C4 F0       add   esp, -10
005886B6   .53            push    ebx
005886B7   .B8 48825800   mov   eax, 00588248
005886BC   .E8 FBE7E7FF   call    00406EBC
005886C1   .8B1D 5CC55800 mov   ebx, dword ptr    ;Server_u.0058DBF0
005886C7   .8B03          mov   eax, dword ptr
005886C9   .E8 96D4EEFF   call    00475B64
005886CE   .8B03          mov   eax, dword ptr
005886D0   .83C0 50       add   eax, 50
005886D3   .E8 58C1E7FF   call    00404830
005886D8   .8B03          mov   eax, dword ptr
005886DA   .BA 58875800   mov   edx, 00588758
005886DF   .E8 78D0EEFF   call    0047575C
005886E4   .8B0D 64C05800 mov   ecx, dword ptr    ;Server_u.0058F4BC
005886EA   .8B03          mov   eax, dword ptr
005886EC   .8B15 14FF5400 mov   edx, dword ptr    ;Server_u.0054FF60
005886F2   .E8 85D4EEFF   call    00475B7C
005886F7   .8B0D 5CC75800 mov   ecx, dword ptr    ;Server_u.0058F490
005886FD   .8B03          mov   eax, dword ptr
005886FF   .8B15 D8A75400 mov   edx, dword ptr    ;Server_u.0054A824
00588705   .E8 72D4EEFF   call    00475B7C
0058870A   .8B0D C4C75800 mov   ecx, dword ptr    ;Server_u.0058F4A8
00588710   .8B03          mov   eax, dword ptr
00588712   .8B15 14F65400 mov   edx, dword ptr    ;Server_u.0054F660
00588718   .E8 5FD4EEFF   call    00475B7C
0058871D   .8B0D C4C45800 mov   ecx, dword ptr    ;Server_u.0058F4A0
00588723   .8B03          mov   eax, dword ptr
00588725   .8B15 00F45400 mov   edx, dword ptr    ;Server_u.0054F44C
0058872B   .E8 4CD4EEFF   call    00475B7C
00588730   .8B0D 78C25800 mov   ecx, dword ptr    ;Server_u.0058F4B4
00588736   .8B03          mov   eax, dword ptr
00588738   .8B15 14FD5400 mov   edx, dword ptr    ;Server_u.0054FD60
0058873E   .E8 39D4EEFF   call    00475B7C
00588743   .8B03          mov   eax, dword ptr
00588745   .E8 B2D4EEFF   call    00475BFC
0058874A   .5B            pop   ebx
0058874B   .E8 6CBFE7FF   call    004046BC

用的断点
Breakpoints
地址       模块       激活      反汇编                                       注释
00401320   Server_u   始终          jmp   dword ptr [<&kernel32.CreateFileA>]
00401428   Server_u   始终          jmp   dword ptr [<&advapi32.RegOpenKeyExA>]
00402E1C   Server_u   始终          call    <jmp.&kernel32.CreateFileA>
0040380E   Server_u   始终          call    <jmp.&advapi32.RegOpenKeyExA>
0040634E   Server_u   始终          call    <jmp.&advapi32.RegOpenKeyExA>
0040636C   Server_u   始终          call    <jmp.&advapi32.RegOpenKeyExA>
0040638A   Server_u   始终          call    <jmp.&advapi32.RegOpenKeyExA>
004071A0   Server_u   始终          jmp   dword ptr [<&advapi32.RegCreateKeyExA
00440362   Server_u   始终          call    <jmp.&advapi32.RegCreateKeyExA>
但是都停不下来

MOV 发表于 2011-5-19 22:01:28

用DEDE看看噢

hxssjy 发表于 2011-5-19 22:20:02

有用过，也是跟不到啊

GGLHY 发表于 2011-5-19 22:54:22

初看了下，貌似SOFTWARE\Microsoft\Windows\CurrentVersion\hahasoft可以断下来

hxssjy 发表于 2011-5-19 22:56:23

本帖最后由 hxssjy 于 2011-5-20 20:53 编辑

回复 4# GGLHY
明天有空试试看
SOFTWARE\Microsoft\Windows\CurrentVersion\hahasoft是可以断下来，但是不跳过跟下去，电脑就会倒计时重启

在别人的帮助下找到了注册码，可是还没办法做出注册机

月之精灵 发表于 2011-5-20 21:57:48

上个图，功能未测试：

月之精灵 发表于 2011-5-20 22:20:59

回复GGLHY
明天有空试试看
SOFTWARE\Microsoft\Windows\CurrentVersion\hahasoft是可以断下来，但是不 ...
hxssjy 发表于 2011-5-19 22:56 https://www.chinapyg.com/images/common/back.gif

不知是不是这样哈

GGLHY 发表于 2011-5-23 14:59:10

呵呵，楼上好快！膜拜下！
趁着BOSS不在，马上OD了下。原来还是明码的哈：




OD中途居然被这软件暗算了下，搞了个关机重启！幸亏有老飘的反关机的东东哈（https://www.chinapyg.com/viewthread.php?tid=61448&extra=page%3D1）在此先谢谢了:handshake

jmpreg 发表于 2011-5-23 15:16:15

楼上的辛苦了！！！学习ING !!

hxssjy 发表于 2011-5-24 21:54:12

今天在一个学校试用了一下，功能是全部可以用，但是有一次主机会重启。

查看完整版本: 帮忙看看这个软件（重启认证的）