- UID
- 34376
注册时间2007-8-15
阅读权限10
最后登录1970-1-1
周游历练
该用户从未签到
|
【文章标题】: 轻松暴破键盘记录器 7.1小记
【文章作者】: 梦湾(云飘飘)
【作者邮箱】: xx
【作者主页】: xx
【作者QQ号】: xx
【软件名称】: 键盘记录器 7.1(2008年1月10日更新之版本)
【软件大小】: 142KB
【下载地址】: http://www.newhua.com/soft/50911.htm
【加壳方式】: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
【保护方式】: 加壳、一机一码
【编写语言】: Microsoft Visual C++ 6.0
【使用工具】: OD
【操作平台】: Win2000
【软件介绍】: 本软件能够将计算机用户的键盘输入及汉字输入全部记
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
武汉的天空,飘着漫天雪花。办公室中,偶斗志昂扬,因为多年来难得如此洋洋洒洒!
言归正传,开始今天的破解之旅。
运行本目录下的keyboardlog.exe,然后点"开起监控"。一分钟之后,冒出附后的烦人窗口!
以后每隔一分钟,该窗口会如期而至,显示在你的桌面中央。难道要掏Money注册?我可不愿意,再说此软件做得也不咋的。
遂自己动手,搞定算了。
UPX壳乃一弱壳,采用ESP定律可以轻松脱掉,这里不赘述。程序keyboardlog.exe不用管了,我们只需要狠狠地对monitor.exe
开刀就行。
OD载入,找到注册码提示处,分析之。可是偶分析不出来,可能是MD5加密。
算了。按F9让程序运行起来,一分钟之后,NAG窗口如窗外的雪花飘然而至。此时,在OD中按F12,让程序暂停。然后按
ALT+K打开堆栈窗口。
堆栈窗口显示
地址 堆栈 程序过程 / 参数 调用来自 结构
0012FC70 77DF5FA8 USER32.77DF154A USER32.77DF5FA3 0012FC90
0012FC94 00420EFE USER32.GetMessageA monitor.00420EF8 0012FC90
0012FC98 004383A8 pMsg = monitor.004383A8
0012FC9C 00000000 hWnd = NULL
0012FCA0 00000000 MsgFilterMin = 0
0012FCA4 00000000 MsgFilterMax = 0
0012FCB0 0041F40D 包含 monitor.00420EFE monitor.0041F40A
0012FCD4 0041CA74 monitor.0041F333 monitor.0041CA6F
0012FCD8 00000004 Arg1 = 00000004
在monitor.0041CA6F处点右键,选择【显式调用】(Show Call),来到这里:- 0041CA6F . E8 BF280000 CALL monitor.0041F333 ; \弹出警告窗
- 0041CA74 > 397E 1C CMP DWORD PTR DS:[ESI+1C],EDI
- 0041CA77 . 74 2D JE SHORT monitor.0041CAA6
-
- 0041CA4B . E8 5FFCFFFF CALL monitor.0041C6AF
- 0041CA50 . 3BC7 CMP EAX,EDI
- 0041CA52 . 74 52 JE SHORT monitor.0041CAA6 ; 改JMP即OK
- 0041CA54 . F646 24 10 TEST BYTE PTR DS:[ESI+24],10
- 0041CA58 . 74 1A JE SHORT monitor.0041CA74 ; 改JMP即OK
- 0041CA5A . 6A 04 PUSH 4
- 0041CA5C . 8BCE MOV ECX,ESI
- 0041CA5E . 5B POP EBX
- 0041CA5F . E8 032F0000 CALL monitor.0041F967
- 0041CA64 . F6C4 01 TEST AH,1
- 0041CA67 . 74 03 JE SHORT monitor.0041CA6C
- 0041CA69 . 6A 05 PUSH 5
- 0041CA6B . 5B POP EBX
- 0041CA6C > 53 PUSH EBX ; /Arg1
- 0041CA6D . 8BCE MOV ECX,ESI ; |
- 0041CA6F . E8 BF280000 CALL monitor.0041F333 ; \弹出警告窗
- 0041CA74 > 397E 1C CMP DWORD PTR DS:[ESI+1C],EDI
- 0041CA77 . 74 2D JE SHORT monitor.0041CAA6
- 0041CA79 . 68 97000000 PUSH 97 ; /Arg6 = 00000097
- 0041CA7E . 57 PUSH EDI ; |Arg5
- 0041CA7F . 57 PUSH EDI ; |Arg4
- 0041CA80 . 57 PUSH EDI ; |Arg3
- 0041CA81 . 57 PUSH EDI ; |Arg2
- 0041CA82 . 57 PUSH EDI ; |Arg1
- 0041CA83 . 8BCE MOV ECX,ESI ; |
- 0041CA85 . E8 C32F0000 CALL monitor.0041FA4D ; \monitor.0041FA4D
- 0041CA8A . EB 1A JMP SHORT monitor.0041CAA6
- 0041CA8C . 8B4D DC MOV ECX,DWORD PTR SS:[EBP-24]
- 0041CA8F . E8 CE4C0000 CALL monitor.00421762
- 0041CA94 . 8B45 E4 MOV EAX,DWORD PTR SS:[EBP-1C]
- 0041CA97 . 8348 2C FF OR DWORD PTR DS:[EAX+2C],FFFFFFFF
- 0041CA9B . B8 A1CA4100 MOV EAX,monitor.0041CAA1
- 0041CAA0 . C3 RETN
- 0041CAA1 . 8B75 E4 MOV ESI,DWORD PTR SS:[EBP-1C]
- 0041CAA4 . 33FF XOR EDI,EDI
- 0041CAA6 > 834D FC FF OR DWORD PTR SS:[EBP-4],FFFFFFFF
- 0041CAAA . 397D E0 CMP DWORD PTR SS:[EBP-20],EDI
- 0041CAAD . 74 0B JE SHORT monitor.0041CABA
-
暴破后,试运行,爽哉。NAG窗口不再来,整个世界清净了,呵呵~~
--------------------------------------------------------------------------------
【经验总结】
对付NAG窗口,原来采用【F12】【ALT+K】超级搭档,如此令人感觉爽!
--------------------------------------------------------------------------------
【版权声明】: 本文属于作者原创,目的在于给菜鸟一个简单的思路, 转载请注明作者并保持文章的完整, 谢谢!
2008年01月14日 12:44:05
[ 本帖最后由 云飘飘 于 2008-1-14 17:57 编辑 ] |
-
-
nag.JPeG
15.23 KB, 下载次数: 19, 下载积分: 飘云币 -2 枚
|
IP卡
发表于 2008-1-14 12:29:53
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2008-1-14 13:11:27
楼主
发表于 2008-1-14 13:26:27
