内存改机器玛问题

武汉新手

一个软件

是读取本机的文件进行注册的


我把 机器玛在内存中

改的和 注册文件一样了？

为什么还没注册？别的就可以？/:L

[ 本帖最后由 武汉新手 于 2007-11-14 14:19 编辑 ]

yyjpcx

如果是自己想学习的话
BP CreateFileA

武汉新手

原帖由 yyjpcx 于 2007-11-14 18:29 发表
如果是自己想学习的话
BP CreateFileA

跟到了 关键代码全部是CALL 不知道如何暴掉啊/:L


楼上的老哥能告诉下暴破点给小弟分析下么

tigerisme

文件不全,没办法帮你看..
另外把你的分析过程贴出来,然后再来讨论.禁止变相求CR

武汉新手

OD载入下断

BP CreateFileA F9运行后堆载显示

0012EEA8   00504FE2  /CALL 到 CreateFileA 来自 1.00504FDC
0012EEAC   00B539E8  |FileName = "C:\Documents and Settings\Administrator\",D7,"烂鎈wuji[1][1].part1\wuji.lic"
0012EEB0   80000000  |Access = GENERIC_READ
0012EEB4   00000000  |ShareMode = 0



读wuji.lic 文件内容判断是否注册
ALT+F9 返回到
00504FE2    83F8 FF         cmp     eax, -1  //返回到这里
00504FE5    75 35           jnz     short 0050501C   //如有有文件就跳,没有就挂
00504FE7    8B75 10         mov     esi, dword ptr [ebp+10]
00504FEA    85F6            test    esi, esi
00504FEC    74 1D           je      short 0050500B
00504FEE    FF15 D8425100   call    dword ptr [<&KERNEL32.GetLastErr>; ntdll.RtlGetLastWin32Error
00504FF4    50              push    eax
00504FF5    8946 0C         mov     dword ptr [esi+C], eax
00504FF8    E8 B91A0000     call    00506AB6
00504FFD    FF75 08         push    dword ptr [ebp+8]
00505000    8D4E 10         lea     ecx, dword ptr [esi+10]
00505003    8946 08         mov     dword ptr [esi+8], eax
00505006    E8 2E3AFEFF     call    004E8A39


然后返回到就到了关键代码区域？新手？

什么都看不懂了。。请个高人继续分析/:L

武汉新手

来个人帮我解答下啊？/:L

chinazb

呵呵~问题有点复杂 啊

maokecheng

，GetDlgItem,这个试试看