各位大侠,请问我这样的破解方法对吗?
在破解教学的 CrackMe Andrnalin.1的破解 中个破解过程是这样的,我没看懂.于是,我就直接用了我自己的方法试着去做,结果误打误撞的搞到了注册码./////原破解方法:
附件下载
输入假信息:13572468
下万能断点:hmemcpy
然后pmodule来到:
015F:00401D54 CALL NEAR
015F:00401D5A CMP EAX,ESI <--------从这里出来
015F:00401D5C JNL 00401D70
015F:00401D5E PUSH DWORD A0
015F:00401D63 PUSH DWORD 00401A40
015F:00401D68 PUSH EDI
015F:00401D69 PUSH EAX
015F:00401D6A CALL `MSVBVM50!__vbaHresultCheckObj`
015F:00401D70 MOV ECX,
015F:00401D73 PUSH ECX // d ecx 就是你输入的注册码
015F:00401D74 PUSH DWORD 00401A54 // d 401a54 就是正确的注册码了
015F:00401D79 CALL `MSVBVM50!__vbaStrCmp`
d ecx得显示如下:
0030:00510F90 36 00 35 00 34 00 33 00-32 00 31 00 00 00 00 00 1.3.5.7.2.4.6.8.
0030:00510FA0 00 00 00 00 00 00 00 00-00 00 00 00 51 00 00 A0 ............Q.?
d 401a54得显示如下:
0030:00401A54 53 00 79 00 6E 00 54 00-61 00 58 00 20 00 32 00 S.y.n.T.a.X. .2.
0030:00401A64 6F 00 6F 00 31 00 00 00-4C 00 00 00 52 00 69 00 o.o.1...L...R.i.
总结:正确的注册码就是:SynTaX 2oo1(注意中间的空格)够简单吧!
我的方法:
用OD直接打开 Andrnalin.1.exe 打开后什么都不不管,按F9运行该文件....
输入123456按OK
这时候看OD (CPU_主要线程,模块-Andrnalin.1 状态下)的右下角,在我这是 "寄存器"的下面
0012F3E8 7403F905返回到 MSVBVM50.7403F905 来自 MSVBVM50.__vbaStrComp
0012F3EC 00000000
0012F3F0 00401A54UNICODE "SynTaX 2oo1"
0012F3F4 0015185CUNICODE "123456"0012F3F8 00401D7F返回到 Andréna.00401D7F 来自 MSVBVM50.__vbaStrCmp
0012F3FC 00401A54UNICODE "SynTaX 2oo1"
0012F400 0015185CUNICODE "123456"
0012F404 0012F4EC
0012F408 0012F5C8
0012F40C 00CFBBBC
0012F410/0012F444
0012F414|62C21269返回到 LPK.62C21269 来自 LPK.62C24358
大家看,跟最后的答案是一样的......
如果我这种思维方式不对,还请指正,谢谢大家! 应该下的是__vbaStrComp断点. 还是象楼上那样下断好些,楼主目前方法如果没有下断的话,可能是凑巧,没有后续的处理操作,在比较后寄存器值没变。 但是下断的方法我没有看懂........
版主能不能做个动画啊,先谢过...... 看任何一个小组的录像都可以,下断是最基本的,方法一样,只不过断点不同而已。这个下__vbaStrComp就可以了 原帖由 caterpilla 于 2006-8-10 21:10 发表
看任何一个小组的录像都可以,下断是最基本的,方法一样,只不过断点不同而已。这个下__vbaStrComp就可以了
跟着来答题~
建议兄弟下载飘云老大制作的 Cracker专用记事本软件,里面的很多VB API断点的。 野猫III 大哥
那个笔记本在我刚进论坛的第一天就DOWN了.呵呵......
谢谢大家~ 破解方法多种多样,不一定要全部按照教程上的做,教程只是对你起到一个引导作用,如果全部对抄那样只会影响自己的思维能力,破解还是需要自己不断的测试才行,/:D 一定要自己实践,不然看乐很快忘的
页:
[1]