关于大礼包中毕业测试题的自校验的问题-经过讨论,到了冲刺阶段-研究考试程序的算法

darling995

解除自校验 bp __vbaFileOpen

1. 0040488A    FF15 C0104000   call dword ptr ds:[<&msvbvm60.__vbaFileOpen>]      ; msvbvm60.__vbaFileOpen
   
2. 00404890    8D55 D0         lea edx,dword ptr ss:[ebp-30]
   
3. 00404893    52              push edx
   
4. 00404894    8D45 D4         lea eax,dword ptr ss:[ebp-2C]
   
5. 00404897    50              push eax
   
6. 00404898    8D4D DC         lea ecx,dword ptr ss:[ebp-24]
   
7. 0040489B    51              push ecx
   
8. 0040489C    8D55 D8         lea edx,dword ptr ss:[ebp-28]
   
9. 0040489F    52              push edx
   
10. 004048A0    8D45 E0         lea eax,dword ptr ss:[ebp-20]
    
11. 004048A3    50              push eax
    
12. 004048A4    6A 05           push 5
    
13. 004048A6    FF15 E4104000   call dword ptr ds:[<&msvbvm60.__vbaFreeStrList>]   ; msvbvm60.__vbaFreeStrList
    
14. 004048AC    8D4D C8         lea ecx,dword ptr ss:[ebp-38]
    
15. 004048AF    51              push ecx
    
16. 004048B0    8D55 CC         lea edx,dword ptr ss:[ebp-34]
    
17. 004048B3    52              push edx
    
18. 004048B4    6A 02           push 2
    
19. 004048B6    FF15 24104000   call dword ptr ds:[<&msvbvm60.__vbaFreeObjList>]   ; msvbvm60.__vbaFreeObjList
    
20. 004048BC    83C4 24         add esp,24
    
21. 004048BF    6A 01           push 1
    
22. 004048C1    FF15 CC104000   call dword ptr ds:[<&msvbvm60.rtcFileLength>]      nop掉msvbvm60.rtcFileLength
    
23. 004048C7    8B4D 08         mov ecx,dword ptr ss:[ebp+8]
    
24. 004048CA    8941 38         mov dword ptr ds:[ecx+38],eax
    
25. 004048CD    6A 01           push 1
    
26. 004048CF    FF15 68104000   call dword ptr ds:[<&msvbvm60.__vbaFileClose>]     nop掉 msvbvm60.__vbaFileClose
    
27. 004048D5    8B55 08         mov edx,dword ptr ss:[ebp+8]

复制代码

可以到输入进入试题密码那步

crystalsnail

原帖由 darling995 于 2008-1-5 16:40 发表
解除自校验 bp __vbaFileOpen0040488A    FF15 C0104000   call dword ptr ds:[]      ; msvbvm60.__vbaFileOpen
00404890    8D55 D0         lea edx,dword ptr ss:[ebp-30]
00404893    52              push e ...

谢谢，学习了

zzzyyyy999

原帖由 darling995 于 2008-1-5 16:40 发表
解除自校验 bp __vbaFileOpen0040488A    FF15 C0104000   call dword ptr ds:[]      ; msvbvm60.__vbaFileOpen
00404890    8D55 D0         lea edx,dword ptr ss:[ebp-30]
00404893    52              push e ...

好象还有点不对,我把
call dword ptr ds:[<&msvbvm60.rtcFileLength>]

call dword ptr ds:[<&msvbvm60.__vbaFileClose>]

这两行都NOP掉了,结果运行程序,还是一闪而过啊.是不是我NOP的不对?

还是其他的什么问题?

zzzyyyy999

其实,不用那么麻烦,bp __vbaFileOpen,向上找到push ebp,再向下找到 0040404F    retn,把push ebp改为jmp 40404f,就OK了.


不过也要谢谢darling995,还好有他提醒对__vbaFileOpen下断.谢谢!

刚发现2个问题:
1.我的图怎么和楼上2位的不一样啊,我的怎么没按钮啊?
2.我用W32DASM载入,看了下串式数据参考,好象加了密,因为那些字我都不认识,很古怪的字,请问,有什么办法能解密啊?

[ 本帖最后由 zzzyyyy999 于 2008-1-6 09:42 编辑 ]

xxdowns

非常感谢，这一步终于搞定了。

darling995

原帖由 zzzyyyy999 于 2008-1-6 09:22 发表
其实,不用那么麻烦,bp __vbaFileOpen,向上找到push ebp,再向下找到 0040404F    retn,把push ebp改为jmp 40404f,就OK了.


不过也要谢谢darling995,还好有他提醒 ...

我也谢谢你的提醒，才明白，nop那两个后还有自校验，我都把自校验算法弄出来了，
就是算法  输入密码=188968999*18=3401441982
但发现还是死胡同。谢谢提醒，现在才明白过来！/:good
原来是需要连那个也跳过。

zzzyyyy999

原帖由 darling995 于 2008-1-5 15:08 发表
我只到了这步，下面还没弄出来
22075

为什么我看不到这个界面啊?难道是我前面去NAG窗口时,连这个也去掉了?

我现在都不知道该怎样继续下去了,bp __vbaStrCmp,我也试过了好象没什么用,前面那位兄弟都爆破了,可我连爆破都不行.

谁能指点下.

darling995

偶爆破成功，谁研究出算法了。帮忙看看这是注册码么？
用户名：darling995
注册码：91553-119519100-5951700-5961417
这是调试时候看到的，但是没成功。/:011

zzzyyyy999

你发个成功的图啊,能说说你是怎么爆的吗?

wofan

路过看一下：
bp __vbaVarTstEq

0040533D    FF15 78B04000   call    dword ptr [<&msvbvm60.__vbaVarTs>; msvbvm60.__vbaVarTstEq
00405343    66:85C0         test    ax, ax
00405346    8B16            mov     edx, dword ptr [esi]
00405348    56              push    esi
00405349    0F84 2D010000   je      0040547C        //在这里爆破吧,让它别跳过去就行