网站 › 『 软件逆向 』 › 重启验证－MobileCheck 菜鸟看看 高手就算了！^_^

jjdg 发表于 2006-9-16 03:16:12

重启验证－MobileCheck 菜鸟看看 高手就算了！^_^

【文章标题】: 重启验证－MobileCheck 菜鸟看看 高手就算了！^_^
【文章作者】: JJDG
【软件名称】: 21世纪手机空号检测系统MobileCheck
【软件大小】: 2824k
【下载地址】: 自己搜索下载
【软件介绍】: 21世纪手机空号检测系统3.3
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
这个软件从安装方式一看就知道是vb写的，运行后，在系统注册标签页面会显示“本软件您还没有注册，....”，注册成功后，会显示：本机注册码...
点注册按钮后，会弹出对话框，显示：请重新进入系统查看是否注册成功。   很明显是个重启验证的类型！
所以直接OD载入，在__vbaStrComp下断即可！
F9运行，F94次的时候OD会弹出入口点警告的对话框，再按大约7次F9，在寄存器就可以看见注册码了，
现在看看堆栈里面的情况，
0012F73C   0042623AMobileCh.0042623A
0012F740   00E45FAC
0012F744   001E0DCCUNICODE "user-1234567890123456"
0012F748   733B42E3MSVBVM60.__vbaObjSet
0012F74C   0014AF70
0012F750   00E4CF9C

好，ctrl+G到0042623A去下断看看！
0042623A   .DBE2          FCLEX               <---来到这里！
0042623C   .85C0          TEST EAX,EAX
0042623E   .7D 12         JGE SHORT MobileCh.00426252
00426240   .68 A0000000   PUSH 0A0
00426245   .68 C4274100   PUSH MobileCh.004127C4
0042624A   .57            PUSH EDI
0042624B   .50            PUSH EAX
0042624C   .FF15 64104000 CALL DWORD PTR DS:[<&MSVBVM60.__vbaHresu>;MSVBVM60.__vbaHresultCheckObj
00426252   >8B55 0C       MOV EDX,DWORD PTR SS:
00426255   .8B02          MOV EAX,DWORD PTR DS:
00426257   .50            PUSH EAX                  －－－－－－－|            
00426258   .8B4D B8       MOV ECX,DWORD PTR SS:         |----看见了吧？2个连续入栈，跟着就是MSVBVM60.__vbaStrCmp了！在这2个push处下断看看！
0042625B   .51            PUSH ECX                  －－－－－－－|         
0042625C   .FF15 D8104000 CALL DWORD PTR DS:[<&MSVBVM60.__vbaStrCm>;MSVBVM60.__vbaStrCmp   这个就是标志啦！
00426262   .8BF8          MOV EDI,EAX
00426264   .F7DF          NEG EDI
00426266   .1BFF          SBB EDI,EDI
00426268   .47            INC EDI
00426269   .F7DF          NEG EDI
0042626B   .8D4D B8       LEA ECX,DWORD PTR SS:

在00426257和0042625B处下断后，ctrl+F12，程序停在00426257处，可见寄存器的内容是：
EAX 0018E864 UNICODE "user-1234567890123456"
ECX 7C93056D ntdll.7C93056D
F8两次，停在0042625C，寄存器的内容是：
EAX 0018E864 UNICODE "user-1234567890123456"                     <-----假注册码
ECX 0018D084 UNICODE "user-DD4542CDA44E094CC7B4C146C535C2BD"   <-----真注册码
看见了吧？2个注册码并列在一起了！
好了！
用user-DD4542CDA44E094CC7B4C146C535C2BD注册一下试试，成功了！
用keymaker1.73在0042625C处做个内存注册机即可！

为了方便练习，同时软件也不是很大，所以直接附在后面了！

--------------------------------------------------------------------------------


                                                       2006年09月16日 03:07:32

tigerisme 发表于 2006-9-16 08:54:07

不错,学习一下:lol:

Mysoft 发表于 2006-9-16 09:39:57

驾轻就熟。。楼主真是高手～

Delude 发表于 2006-12-2 12:56:27

不错不错~!

starcool 发表于 2006-12-2 13:31:04

稀饭,灰长厉害~

xuhw 发表于 2006-12-2 20:05:06

一两拨千斤

glts 发表于 2006-12-3 17:11:11

嗯支持学习~~

mojingtai 发表于 2006-12-15 21:41:32

谢谢，现在正在学习

dryzh 发表于 2006-12-16 15:33:43

学习一下！
马上拿MobileCheck V4.5版的来练习试试手！


晕了！:L 新版有狗。我先放一放。

[ 本帖最后由 dryzh 于 2006-12-16 15:37 编辑 ]

avel 发表于 2007-1-2 16:34:23

嘿嘿～！

下来自己开刀～

查看完整版本: 重启验证－MobileCheck 菜鸟看看 高手就算了！^_^