- UID
- 8092
注册时间2006-2-13
阅读权限10
最后登录1970-1-1
周游历练
TA的每日心情 | 开心
2015-11-10 14:35 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
楼主 |
发表于 2006-4-17 19:52:00
|
显示全部楼层
原帖由 Nisy 于 2006-3-24 10:05 发表
附件中只有一个注册机 官方已经停止这个软件的下载了 有破文的话 能送我一份吗
[email protected] 学习一下~
某: ADSL拨号计时器V7.32 绿色版
下载地址:http://www.uncleme.com/
调试工具:OllyDbg1.0版 PEID 0。94
系 统:XP SP2
该件只要运行点击注册他就会强制注销系统----这是反内存注册机。
PEID 查壳ASPack 2.12 -> Alexey Solodovnikov 脱壳成功,爆破时CRC校验。
好让你穿着马甲。
1、
OD载入 BP ExitWindowsEx
77D59E6D > 8BFF MOV EDI,EDI
77D59E6F /. 55 PUSH EBP
77D59E70 |. 8BEC MOV EBP,ESP
堆栈:
0012FD64 004AD6A3 /CALL 到 ExitWindowsEx 来自 ADSLDT.004AD69E
0012FD68 00000004 |Options = EWX_FORCE
0012FD6C 00000000 \Reserved = 0
CTRL+G 004AD6A3
004AD69A 6A 00 PUSH 0
004AD69C 6A 04 PUSH 4
004AD69E E8 899AF5FF CALL ADSLDT.0040712C ; JMP 到
004AD6A3 B0 01 MOV AL,1
堆栈:
0012FD68 00000004 |Options = EWX_FORCE
0012FD6C 00000000 \Reserved = 0
注:注销当前用户 => ExitWindowsEx(EWX_FORCE or EWX_LOGOFF); OK 。
运行脱壳后的程序将
004AD69A 6A 00 PUSH 0 \
004AD69C 6A 04 PUSH 4 / NOP 强制注销和CRC校验全无。
004AD69E E8 899AF5FF CALL ADSLDT.0040712C/
2、追码
OD载入point h f9 输我们的码 alt+f9 f8
00447A6C 8943 0C MOV DWORD PTR DS:[EBX+C],EAX
00447A6F 8B03 MOV EAX,DWORD PTR DS:[EBX]
00447A71 83F8 0C CMP EAX,0C
00447A74 75 1B JNZ SHORT ADSLDT.00447A91
略:
004AD5D8 E8 8373F5FF CALL ADSLDT.00404960 真假对比
004AD5DD 74 14 JE SHORT ADSLDT.004AD5F3
好请出keymake
中断地址004AD5D8
次数 1
指令 E8
长度 5
修改内存
004AD69A 90 00 PUSH 0 \
004AD69C 90 90 PUSH 4 / NOP 强制注销和CRC校验全无。
004AD69E 9090909090 CALL ADSLDT.0040712C/
OK收工运行小样还注销吗?
7.32 和7.35 大同小意
7.35我整理一下发给你好吗!
_____________________________@ |
|
楼主: adsl2006
IP卡
发表于 2006-3-26 08:28:43
显身卡
发表于 2006-3-31 10:55:49
发表于 2006-4-18 22:07:58