易经占筮 2005 去自校验+追出注册码

147741

【破文标题】易经占筮 2005 去自校验+追出注册码
【破文作者】k99992002
【破解平台】winxp
【软件名称】易经占筮 2005
【软件大小】2809KB
【软件简介】电脑算命的东东
【破解工具】PEiD 0.93中文版、C32asm、OllyDbgV1.10
【保护方式】D盘序列号＋用户注册码
【破解声明】我乃小菜鸟一只，偶得一点心得，愿与大家分享：）
【破解步骤】先用PEiD 0.93侦测，发现为UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 用脱壳机（Qunpack）可以简单搞定！
脱壳后运行程序，程序弹出警告，程序有自校验
用C32asm反汇编找到3个跳转依次为
反汇编的时候，查看字符串后，我门这里选择使用unico分析
找那个错误的提示
好找到了在0052095D处
双击来到代码出看到
JmpBy:00520603,00520797
::0052092B::  0F85 DE000000            JNZ 00520A0F
三处关键跳
现在我们用OD载入
ctrl+G来到52095D
找那几个跳转
它们主要是来判断程序的目录下除了
易经占筮.exe
unins000.exe
是否还有其它exe的文件
如果有就over
还有校验文件名！
现在来修改它们
::00520603::  0F84 28030000            JE 00520931   
::00520797::  0F84 94010000            JE 00520931
::0052092B::  0F85 DE000000            JNZ 00520A0F
依次改为
找到
::00520603::  0F84 28030000            JE 00520931  [NOP掉]
找到
::00520797::  0F84 94010000            JE 00520931  [NOP掉]
找到
::0052092B::  0F85 DE000000            JNZ 00520A0F [JNZ改JMP]
在92B处，这里我要要让它跳走不然就OVER所以把JNZ改JMP
无条件的跳
然后复制到可执行程序，所有改动
现在程序可以运行了！
接着我门来追出它的注册码。
OD载入程序，运行
注册，输入假码：1234567
然后alt+E找到msvbvm60双击来到代码出，CTRL+n
不好意思，习惯了按了F2键
我们重新来
找到vbaStrComp F2下断点
来到程序，点确定注册，程序被断下！
是明码比较
假码为：1234567
真码为：66907
取消断点
alt+F9返回到程序领空
0055B370     8BF0             mov esi,eax
0055B372     8D55 E4          lea edx,dword ptr ss:[ebp-1C]
0055B375     F7DE             neg esi
0055B377     1BF6             sbb esi,esi
在寄存器处显示
EAX FFFFFFFF
ECX 00000004
EDX 0014EDEC UNICODE "66907"
EBX 00000003
EDX内存出显示着真码 是 UNICODE "66907"
好我们来做内存注册机
中断地址：55b370
次数：1
第一字节：8b
指令长度：2
选择内存方式
寄存器：EDX
在宽字符串前钩上 因为UNICODE
好生成注册机！
我们来试下
因为我们刚选择的是那个原来的程序所以有警告
在这里我们把1。exe改成
1.scr
好 了注册吗出来了
注册成功
注册码保存在
c:\setlog4.yjs


我正这些自校检发愁！高手看看能不能指点一二，我是新人！！

soychino

vb程序最头疼,学习!

honghe

支持原创

scgycxzzc

谢谢分享/:012

avsever

还看不懂，要多学习

naming

学习/:002

wangweizhou

C32asm什么,藜32

zsl01

学习VB的程序.

zzglsky

看看还能用不