学习笔记一破解Advanced Find and Replace V1.2.3

lmg7005

语言种类：英文 版 本 号：1.2.3
文件大小：967 K 界面预览：暂无
发布日期：2000.06.17 软件类型：共享
系统平台：Win 95/98/NT
软件厂商：Roman Vasin  
软件主页：http://vasin.hypermart.net/afr/
Advanced Find and Replace 说明信息      
正如软件名所表示的含义，它是一个强大的文本搜寻工具，同时提供了语法支持，可以定义搜寻的方式：文件类型、日期、大小、关键字等等。同时可以直接进行替换，实现某些批量操作。  

http://download.enet.com.cn/html/070562000062201.html
打开看注册提示:"sorry, registration code is not correct"
好,下手!

先peid查壳:Borland Delphi 4.0 - 5.0
直接拖入OD!



超级字符串查找 :"sorry, registration code is not correct"

找到2处
第一处:00474956  |.  B8 E0494700   MOV EAX,AFR.004749E0                     ; |sorry, registration code is not correct
向上看
0047491F  |.  E8 54F5F8FF   CALL AFR.00403E78
00474924      75 25         JNZ SHORT AFR.0047494B                   不相等则跳              
00474926  |.  8BC6          MOV EAX,ESI
00474928  |.  E8 C7FCFFFF   CALL AFR.004745F4
0047492D  |.  6A 00         PUSH 0                                   ; /Arg1 = 00000000
0047492F  |.  66:8B0D A4494>MOV CX,WORD PTR DS:[4749A4]              ; |
00474936  |.  B2 02         MOV DL,2                                 ; |
00474938  |.  B8 B0494700   MOV EAX,AFR.004749B0                     ; |thank you very much for registration                                                                    注册成功0047493D  |.  E8 B6F5FDFF   CALL AFR.00453EF8                        ; \AFR.00453EF8
00474942  |.  C686 11030000>MOV BYTE PTR DS:[ESI+311],1
00474949  |.  EB 22         JMP SHORT AFR.0047496D
0047494B  |>  6A 00         PUSH 0                                   ; /Arg1 = 00000000
0047494D  |.  66:8B0D A4494>MOV CX,WORD PTR DS:[4749A4]              ; |
00474954  |.  B2 01         MOV DL,1                                 ; |
00474956  |.  B8 E0494700   MOV EAX,AFR.004749E0                     ; |sorry, registration code is not correct                                                               失败
0047495B  |.  E8 98F5FDFF   CALL AFR.00453EF8                        ; \AFR.00453EF8
00474960  |.  33DB          XOR EBX,EBX
00474962  |.  C686 11030000>MOV BYTE PTR DS:[ESI+311],0
00474969  |.  EB 02         JMP SHORT AFR.0047496D


第二处
00474BCA  |.  B8 4C4C4700   MOV EAX,AFR.00474C4C                     ; |sorry, registration code is not correct
向上看
00474B98     /75 25         JNZ SHORT AFR.00474BBF                     不相等则跳00474B9A  |. |8BC3          MOV EAX,EBX
00474B9C  |. |E8 53FAFFFF   CALL AFR.004745F4
00474BA1  |. |6A 00         PUSH 0                                   ; /Arg1 = 00000000
00474BA3  |. |66:8B0D 104C4>MOV CX,WORD PTR DS:[474C10]              ; |
00474BAA  |. |B2 02         MOV DL,2                                 ; |
00474BAC  |. |B8 1C4C4700   MOV EAX,AFR.00474C1C                     ; |thank you very much for registration                                                                注册成功
00474BB1  |. |E8 42F3FDFF   CALL AFR.00453EF8                        ; \AFR.00453EF8
00474BB6  |. |C683 11030000>MOV BYTE PTR DS:[EBX+311],1
00474BBD  |. |EB 1C         JMP SHORT AFR.00474BDB
00474BBF  |> \6A 00         PUSH 0                                   ; /Arg1 = 00000000
00474BC1  |.  66:8B0D 104C4>MOV CX,WORD PTR DS:[474C10]              ; |
00474BC8  |.  B2 01         MOV DL,1                                 ; |
00474BCA  |.  B8 4C4C4700   MOV EAX,AFR.00474C4C                     ; |sorry, registration code is not correct                                                             注册失败


看到两个关键的00474924      75 25         JNZSHORT AFR.0047494B
00474B98     /75 25         JNZ SHORT AFR.00474BBF           

注册码不对就直接跳转到注册不成功上!
我就修改JNZ----->JZ 相等则跳!
随便输入的肯定是不正确的码,所以应该跳!
但是你如果输入对了,是不是就不跳了(呵呵,自己没有测试)
然后保存所有修改!
进入后提示注册成功!


请大家指正!

[ 本帖最后由 lmg7005 于 2007-12-28 11:14 编辑 ]

leisurely

学习了，谢谢分享破文~~~~~