- UID
- 54124
注册时间2008-7-1
阅读权限10
最后登录1970-1-1
周游历练
该用户从未签到
|
.
PEID查壳Borland Delphi 6.0 - 7.0
用OD查不到字符串,我们就是C32试试查字符,查标提上的未注册字样
005C6637 . E8 145AF8FF call 0054C050 ; 进入CALL,下断
005C663C . 8883 6C030000 mov byte ptr [ebx+36C], al
005C6642 80BB 6C030000>cmp byte ptr [ebx+36C], 0 ; 标志位
005C6649 . 74 1C je short 005C6667 ; 关键跳
005C664B . 8D45 EC lea eax, dword ptr [ebp-14]
005C664E . B9 E4665C00 mov ecx, 005C66E4
005C6653 . 8B55 FC mov edx, dword ptr [ebp-4]
005C6656 . E8 DDF3E3FF call 00405A38
005C665B . 8B55 EC mov edx, dword ptr [ebp-14]
005C665E . 8BC3 mov eax, ebx
005C6660 . E8 43E7EEFF call 004B4DA8
005C6665 . EB 1A jmp short 005C6681
005C6667 > 8D45 E8 lea eax, dword ptr [ebp-18]
005C666A . B9 F8665C00 mov ecx, 005C66F8 ; 未注册
005C666F . 8B55 FC mov edx, dword ptr [ebp-4]
*******************************************************************************************
进入005C6637的关键CALL
0054C050 /$ 55 push ebp
0054C051 |. 8BEC mov ebp, esp
0054C053 |. E8 08020000 call 0054C260 ; 有可疑,进入看看
0054C058 |. 5D pop ebp
0054C059 \. C3 retn
**************************************************************************
进入0054C053 CALL,F8,有部分省略了
0054C2E0 |. 5A pop edx ; 0012FDB8
0054C2E1 |. 59 pop ecx
0054C2E2 |. 59 pop ecx
0054C2E3 |. 64:8910 mov dword ptr fs:[eax], edx
0054C2E6 |. 68 00C35400 push 0054C300
0054C2EB |> 8D45 F4 lea eax, dword ptr [ebp-C]
0054C2EE |. BA 03000000 mov edx, 3
0054C2F3 |. E8 3094EBFF call 00405728
0054C2F8 \. C3 retn
0054C2F9 .^ E9 D68BEBFF jmp 00404ED4
0054C2FE .^ EB EB jmp short 0054C2EB
0054C300 8BC3 mov eax, ebx ; 关键,赋值,把EBX,改为ECX
0054C302 . 5E pop esi
0054C303 . 5B pop ebx
0054C304 . 8BE5 mov esp, ebp
0054C306 . 5D pop ebp
0054C307 . C3 retn
总结一下
只改跳是没用的,关键是在赋值,希望新手可以举一反三吧
不明的可以加804888631
|
|
IP卡
发表于 2008-9-14 15:36:24
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2008-9-14 21:26:54
发表于 2008-9-15 13:04:02
发表于 2008-9-28 11:13:26