- UID
- 42390
注册时间2007-12-21
阅读权限10
最后登录1970-1-1
周游历练
该用户从未签到
|
发表于 2009-6-20 10:39:29
|
显示全部楼层
CrackMe2:
开始查找模块.....
查询到模块开始于: 0x00400000 终止于: 0x0040B000 模块名称: D:\DownLoads\Crack平台\CrackMe2.exe
查询到模块开始于: 0x62C20000 终止于: 0x62C29000 模块名称: LPK.dll
查询到模块开始于: 0x73FA0000 终止于: 0x7400B000 模块名称: USP10.dll
查询到模块开始于: 0x76300000 终止于: 0x7631D000 模块名称: IMM32.dll
查询到模块开始于: 0x77BE0000 终止于: 0x77C38000 模块名称: msvcrt.dll
查询到模块开始于: 0x77D10000 终止于: 0x77D9F000 模块名称: USER32.dll
查询到模块开始于: 0x77DA0000 终止于: 0x77E49000 模块名称: ADVAPI32.dll
查询到模块开始于: 0x77E50000 终止于: 0x77EE1000 模块名称: RPCRT4.dll
查询到模块开始于: 0x77EF0000 终止于: 0x77F36000 模块名称: GDI32.dll
查询到模块开始于: 0x7C800000 终止于: 0x7C91C000 模块名称: KERNEL32.dll
查询到模块开始于: 0x7C920000 终止于: 0x7C9B4000 模块名称: ntdll.dll
共查找到11个模块.....
DetourTransactionCommit函数处理中........(10秒内未返回说明调用失败)
成功获取函数: 5711......
返回地址: 00403AAA 函数名称: HeapCreate(KERNEL32.dll)
HeapCreate: 在堆中创建一块内存
flOptions=0x00000001
dwInitialSize=0x00001000
dwMaximumSize=0x00000000
HeapCreate返回值: 0x00E20000(堆的句柄)
返回地址: 00404A8D 函数名称: GetStartupInfoA(KERNEL32.dll)
GetStartupInfoA: 检查启动信息,可检查是否被调试
lpStartupInfo=0x0012FF04
GetStartupInfoA返回值: 0x0012FF04(无返回值)
返回地址: 00404BD1 函数名称: SetHandleCount(KERNEL32.dll)
SetHandleCount: 设置可提供给进程的文件句柄数目
uNumber=0x00000020
SetHandleCount返回值: 0x00000020
返回地址: 004038DB 函数名称: GetCommandLineA(KERNEL32.dll)
GetCommandLineA: 获得指向当前命令行缓冲区的指针,无参数
GetCommandLineA返回值: 0x00152368 (""D:\DownLoads\Crack平台\CrackMe2.exe"")
返回地址: 00404919 函数名称: GetEnvironmentStringsW(KERNEL32.dll)
GetEnvironmentStringsW: 返回指向包含了环境字串的一个内存块的地址,无参数
GetEnvironmentStringsW返回值: 0x00010000(环境字串地址)
返回地址: 004049D0 函数名称: FreeEnvironmentStringsW(KERNEL32.dll)
FreeEnvironmentStringsW: 释放指定的环境字串块
lpszEnvironmentBlock=0x00010000
FreeEnvironmentStringsW返回值: 0x00000001(NULL表示失败)
返回地址: 004046D8 函数名称: GetModuleFileNameA(KERNEL32.dll)
GetModuleFileNameA: 获取一个已装载模板的完整路径名称
hModule=0x00000000
lpBuffer=0x00408AA4
nBufferSize=0x00000104
存入缓冲区中的数据: "D:\DownLoads\Crack平台\CrackMe2.exe"
GetModuleFileNameA返回值: 0x00000023(文本长度)
返回地址: 00403906 函数名称: GetStartupInfoA(KERNEL32.dll)
GetStartupInfoA: 检查启动信息,可检查是否被调试
lpStartupInfo=0x0012FF64
GetStartupInfoA返回值: 0x0012FF64(无返回值)
返回地址: 00403929 函数名称: GetModuleHandleA(KERNEL32.dll)
GetModuleHandleA: 获取一个应用程序或动态链接库的模块句柄
lpModuleName=NULL
GetModuleHandleA返回值: 0x00400000(模块句柄)
返回地址: 00401166 函数名称: GetModuleFileNameA(KERNEL32.dll)
GetModuleFileNameA: 获取一个已装载模板的完整路径名称
hModule=0x00400000
lpBuffer=0x0012FDA0
nBufferSize=0x00000104
存入缓冲区中的数据: "D:\DownLoads\Crack平台\CrackMe2.exe"
GetModuleFileNameA返回值: 0x00000023(文本长度)
返回地址: 00401183 函数名称: CreateFileA(KERNEL32.dll)
CreateFileA: 打开和创建文件、管道及控制台等
lpFileName="D:\DownLoads\Crack平台\CrackMe2.exe"
dwDesiredAccess=0x80000000
dwShareMode=0x00000001 (FILE_SHARE_READ)
lpSecurityAttributes=0x00000000
dwCreationDistribution=0x00000003 (OPEN_EXISTING)
dwFlagsAndAttributes=0x00000080 (FILE_ATTRIBUTE_NORMAL)
hTemplateFile=0x00000000
CreateFileA返回值: 0x00000048(文件句柄)
返回地址: 004011A4 函数名称: SetFilePointer(KERNEL32.dll)
SetFilePointer: 在一个文件中设置当前的读写位置
hFile=0x00000048
lDistanceToMove=0xFFFFFFF8
lpDistanceToMoveHigh=0x00000000
dwMoveMethod=0x00000002 (FILE_END)
SetFilePointer返回值: 0x0009E4E9(从文件起始处开始算起的一个字节偏移量)
返回地址: 00401220 函数名称: SetFilePointer(KERNEL32.dll)
SetFilePointer: 在一个文件中设置当前的读写位置
hFile=0x00000048
lDistanceToMove=0xFFF6CB0F
lpDistanceToMoveHigh=0x00000000
dwMoveMethod=0x00000002 (FILE_END)
SetFilePointer返回值: 0x0000B000(从文件起始处开始算起的一个字节偏移量)
返回地址: 00401271 函数名称: GetTempPathA(KERNEL32.dll)
GetTempPathA: 获取为临时文件指定的路径
nBufferSize=0x00000104
lpBuffer=0x0012FDA0
存入缓冲区中的数据: "C:\DOCUME~1\aCaFeeL\LOCALS~1\Temp\"
GetTempPathA返回值: 0x00000022
返回地址: 004012FB 函数名称: CreateDirectoryA(KERNEL32.dll)
CreateDirectoryA: 创建一个新目录
lpPathName="C:\DOCUME~1\aCaFeeL\LOCALS~1\Temp\2"
pSecurityAttributes=0x00000000
CreateDirectoryA返回值: 0x00000000
返回地址: 0040141F 函数名称: CreateFileA(KERNEL32.dll)
CreateFileA: 打开和创建文件、管道及控制台等
lpFileName="C:\DOCUME~1\aCaFeeL\LOCALS~1\Temp\2\krnln.fnr"
dwDesiredAccess=0x40000000
dwShareMode=0x00000000
lpSecurityAttributes=0x00000000
dwCreationDistribution=0x00000002 (CREATE_ALWAYS)
dwFlagsAndAttributes=0x00000080 (FILE_ATTRIBUTE_NORMAL)
hTemplateFile=0x00000000
CreateFileA返回值: 0x0000004C(文件句柄)
返回地址: 00401435 函数名称: WriteFile(KERNEL32.dll)
WriteFile: 将数据写入一个文件
hFile=0x0000004C
lpBuffer=0x00FD002E
nNumberOfBytesToWrite=0x0010D000
lpNumberOfBytesWritten=0x0012FF0C
lpOverlapped=0x00000000
存入缓冲区中的数据: "MZ?
WriteFile返回值: 0x00000001(BOOL类型)
返回地址: 0040143E 函数名称: CloseHandle(KERNEL32.dll)
CloseHandle: 关闭句柄
hObject=0x0000004C
CloseHandle返回值: 0x00000001(NULL表示失败)
返回地址: 0040141F 函数名称: CreateFileA(KERNEL32.dll)
CreateFileA: 打开和创建文件、管道及控制台等
lpFileName="C:\DOCUME~1\aCaFeeL\LOCALS~1\Temp\2\iext.fnr"
dwDesiredAccess=0x40000000
dwShareMode=0x00000000
lpSecurityAttributes=0x00000000
dwCreationDistribution=0x00000002 (CREATE_ALWAYS)
dwFlagsAndAttributes=0x00000080 (FILE_ATTRIBUTE_NORMAL)
hTemplateFile=0x00000000
CreateFileA返回值: 0x0000004C(文件句柄)
返回地址: 00401435 函数名称: WriteFile(KERNEL32.dll)
WriteFile: 将数据写入一个文件
hFile=0x0000004C
lpBuffer=0x010DD03B
nNumberOfBytesToWrite=0x00036000
lpNumberOfBytesWritten=0x0012FF0C
lpOverlapped=0x00000000
存入缓冲区中的数据: "MZ?
WriteFile返回值: 0x00000001(BOOL类型)
返回地址: 0040143E 函数名称: CloseHandle(KERNEL32.dll)
CloseHandle: 关闭句柄
hObject=0x0000004C
CloseHandle返回值: 0x00000001(NULL表示失败)
返回地址: 0040148D 函数名称: LoadLibraryA(KERNEL32.dll)
LoadLibraryA: 载入指定的动态链接库,并将它映射到当前进程使用的地址空间
lpLibFileName="C:\DOCUME~1\aCaFeeL\LOCALS~1\Temp\2\krnln.fnr"
LoadLibraryA返回值: 0x01220000(链接库句柄)
API添加成功,hook API成功: Ecode_Function_3
API添加成功,hook API成功: Ecode_GetProperty
API添加成功,hook API成功: Ecode_SetProperty
API添加成功,hook API失败: Ecode_Function_2 错误号: 9 编号: 5716
返回地址: 00409B92 函数名称: Ecode_Function_3(krnl.fnr)
Ecode_Function_3: 取硬盘特征字
dwEcodeType=0x00000000
Ecode_Function_3返回值: 0x50548E5F
返回地址: 00409BC4 函数名称: Ecode_Function_3(krnl.fnr)
Ecode_Function_3: 变量转为文本
dwEcodeType=0x00000001
EcodeVariable=0xBDD60800 (数值)
dwEcodeVarType_2=0x429B4A39
dwEcodeVarType=0x80000601 (数值型)
Ecode_Function_3返回值: 0x0015E8C8 ("7501402568066")
返回地址: 00409BE2 函数名称: Ecode_SetProperty(krnl.fnr)
Ecode_SetProperty: 设置窗口控件属性
hWindow=0x52010001
hControl=0x16010002
dwEcodeType=0x00000008 (标题)
Arg4=0xFFFFFFFF
EcodeNewValue=0x0015E8C8 ("7501402568066")
Arg6=0x00000000
Ecode_SetProperty返回值: 0x00000000
返回地址: 00409C22 函数名称: Ecode_Function_3(krnl.fnr)
Ecode_Function_3: 易语言3号服务
dwEcodeType=0x00000003
EcodeVariable=0x00000004 (整数)
dwEcodeVarType_2=0x00000000
dwEcodeVarType=0x80000301 (整数型)
EcodeVariable=0x0040910E ("SYSTEM\ameng")
dwEcodeVarType_2=0x00000000
dwEcodeVarType=0x80000004 (文本型)
EcodeVariable=0x00000000
dwEcodeVarType_2=0x00000000
dwEcodeVarType=0x00000000
Ecode_Function_3返回值: 0x00000042
返回地址: 00409C4C 函数名称: Ecode_SetProperty(krnl.fnr)
Ecode_SetProperty: 设置窗口控件属性
hWindow=0x52010001
hControl=0x16010008
dwEcodeType=0x00000008 (标题)
Arg4=0xFFFFFFFF
EcodeNewValue=0x0040915E ("已注册")
Arg6=0x00000000
Ecode_SetProperty返回值: 0x00000000
返回地址: 00409C69 函数名称: Ecode_SetProperty(krnl.fnr)
Ecode_SetProperty: 设置窗口控件属性
hWindow=0x52010001
hControl=0x06010000
dwEcodeType=0x00000008 (标题)
Arg4=0xFFFFFFFF
EcodeNewValue=0x00409165 ("注册版")
Arg6=0x00000000
Ecode_SetProperty返回值: 0x00000000
返回地址: 00409C86 函数名称: Ecode_SetProperty(krnl.fnr)
Ecode_SetProperty: 设置窗口控件属性
hWindow=0x52010001
hControl=0x16010004
dwEcodeType=0x0000000A (内容)
Arg4=0xFFFFFFFF
EcodeNewValue=0x0040915E ("已注册")
Arg6=0x00000000
Ecode_SetProperty返回值: 0x00000000
返回地址: 00409CBC 函数名称: Ecode_Function_3(krnl.fnr)
Ecode_Function_3: 创建对话框
dwEcodeType=0x00000003
EcodeVariable=0x0040916C ("你使用的是注册版!")
dwEcodeVarType_2=0x00000000
dwEcodeVarType=0x80000004 (文本型)
EcodeVariable=0x00000040 (整数)
dwEcodeVarType_2=0x00000000
dwEcodeVarType=0x80000301 (整数型)
EcodeVariable=0x0040911B ("提示")
dwEcodeVarType_2=0x00000000
dwEcodeVarType=0x80000004 (文本型)
Ecode_Function_3返回值: 0x00000000
返回地址: 00409A26 函数名称: Ecode_Function_3(krnl.fnr)
Ecode_Function_3: 取硬盘特征字
dwEcodeType=0x00000000
Ecode_Function_3返回值: 0x50548E5F
返回地址: 00409A62 函数名称: Ecode_Function_3(krnl.fnr)
Ecode_Function_3: 变量转为文本
dwEcodeType=0x00000001
EcodeVariable=0xAAAB81AE (整数)
dwEcodeVarType_2=0x00000000
dwEcodeVarType=0x80000301 (整数型)
Ecode_Function_3返回值: 0x00165FC8 ("-1431600722")
返回地址: 00409A7B 函数名称: Ecode_GetProperty(krnl.fnr)
Ecode_GetProperty: 获取窗口控件属性
hWindow=0x52010001
hControl=0x16010003
dwEcodeType=0x00000008 (标题)
Arg4=0xFFFFFFFF
Ecode_GetProperty返回值: 0x0015E8C8 ("-1431600722")
返回地址: 00409AFB 函数名称: Ecode_Function_3(krnl.fnr)
Ecode_Function_3: 易语言3号服务
dwEcodeType=0x00000003
EcodeVariable=0x00000004 (整数)
dwEcodeVarType_2=0x00000000
dwEcodeVarType=0x80000301 (整数型)
EcodeVariable=0x0040910E ("SYSTEM\ameng")
dwEcodeVarType_2=0x00000000
dwEcodeVarType=0x80000004 (文本型)
EcodeVariable=0x00000042 (整数)
dwEcodeVarType_2=0x00000000
dwEcodeVarType=0x80000301 (整数型)
Ecode_Function_3返回值: 0x00000001
返回地址: 00409B31 函数名称: Ecode_Function_3(krnl.fnr)
Ecode_Function_3: 创建对话框
dwEcodeType=0x00000003
EcodeVariable=0x00409120 ("注册成功!请重新启动程序!")
dwEcodeVarType_2=0x00000000
dwEcodeVarType=0x80000004 (文本型)
EcodeVariable=0x00000040 (整数)
dwEcodeVarType_2=0x00000000
dwEcodeVarType=0x80000301 (整数型)
EcodeVariable=0x0040911B ("提示")
dwEcodeVarType_2=0x00000000
dwEcodeVarType=0x80000004 (文本型)
Ecode_Function_3返回值: 0x00000000
停止输出. |
|
IP卡
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2009-6-20 11:51:41
发表于 2009-6-20 16:25:22
发表于 2009-6-22 11:21:26