帮忙看看这个软件（重启认证的）

hxssjy

http://u.115.com/file/clc5jcun#
局域网抢答器V2.0.rar
有加壳，壳是ASPack 2.12 -> Alexey Solodovnikov，我的压缩内有一个已脱壳，脱壳后是Borland Delphi 6.0 - 7.0。
用什么断点都断不下来是怎么回事啊！
脱壳用OD打开
005886B0 > $  55            push    ebp
005886B1   .  8BEC          mov     ebp, esp
005886B3   .  83C4 F0       add     esp, -10
005886B6   .  53            push    ebx
005886B7   .  B8 48825800   mov     eax, 00588248
005886BC   .  E8 FBE7E7FF   call    00406EBC
005886C1   .  8B1D 5CC55800 mov     ebx, dword ptr [58C55C]     ;  Server_u.0058DBF0
005886C7   .  8B03          mov     eax, dword ptr [ebx]
005886C9   .  E8 96D4EEFF   call    00475B64
005886CE   .  8B03          mov     eax, dword ptr [ebx]
005886D0   .  83C0 50       add     eax, 50
005886D3   .  E8 58C1E7FF   call    00404830
005886D8   .  8B03          mov     eax, dword ptr [ebx]
005886DA   .  BA 58875800   mov     edx, 00588758
005886DF   .  E8 78D0EEFF   call    0047575C
005886E4   .  8B0D 64C05800 mov     ecx, dword ptr [58C064]     ;  Server_u.0058F4BC
005886EA   .  8B03          mov     eax, dword ptr [ebx]
005886EC   .  8B15 14FF5400 mov     edx, dword ptr [54FF14]     ;  Server_u.0054FF60
005886F2   .  E8 85D4EEFF   call    00475B7C
005886F7   .  8B0D 5CC75800 mov     ecx, dword ptr [58C75C]     ;  Server_u.0058F490
005886FD   .  8B03          mov     eax, dword ptr [ebx]
005886FF   .  8B15 D8A75400 mov     edx, dword ptr [54A7D8]     ;  Server_u.0054A824
00588705   .  E8 72D4EEFF   call    00475B7C
0058870A   .  8B0D C4C75800 mov     ecx, dword ptr [58C7C4]     ;  Server_u.0058F4A8
00588710   .  8B03          mov     eax, dword ptr [ebx]
00588712   .  8B15 14F65400 mov     edx, dword ptr [54F614]     ;  Server_u.0054F660
00588718   .  E8 5FD4EEFF   call    00475B7C
0058871D   .  8B0D C4C45800 mov     ecx, dword ptr [58C4C4]     ;  Server_u.0058F4A0
00588723   .  8B03          mov     eax, dword ptr [ebx]
00588725   .  8B15 00F45400 mov     edx, dword ptr [54F400]     ;  Server_u.0054F44C
0058872B   .  E8 4CD4EEFF   call    00475B7C
00588730   .  8B0D 78C25800 mov     ecx, dword ptr [58C278]     ;  Server_u.0058F4B4
00588736   .  8B03          mov     eax, dword ptr [ebx]
00588738   .  8B15 14FD5400 mov     edx, dword ptr [54FD14]     ;  Server_u.0054FD60
0058873E   .  E8 39D4EEFF   call    00475B7C
00588743   .  8B03          mov     eax, dword ptr [ebx]
00588745   .  E8 B2D4EEFF   call    00475BFC
0058874A   .  5B            pop     ebx
0058874B   .  E8 6CBFE7FF   call    004046BC

用的断点
Breakpoints
地址       模块       激活        反汇编                                         注释
00401320   Server_u   始终          jmp     dword ptr [<&kernel32.CreateFileA>]
00401428   Server_u   始终          jmp     dword ptr [<&advapi32.RegOpenKeyExA>]
00402E1C   Server_u   始终          call    <jmp.&kernel32.CreateFileA>
0040380E   Server_u   始终          call    <jmp.&advapi32.RegOpenKeyExA>
0040634E   Server_u   始终          call    <jmp.&advapi32.RegOpenKeyExA>
0040636C   Server_u   始终          call    <jmp.&advapi32.RegOpenKeyExA>
0040638A   Server_u   始终          call    <jmp.&advapi32.RegOpenKeyExA>
004071A0   Server_u   始终          jmp     dword ptr [<&advapi32.RegCreateKeyExA
00440362   Server_u   始终          call    <jmp.&advapi32.RegCreateKeyExA>
但是都停不下来

MOV

用DEDE看看噢

hxssjy

有用过，也是跟不到啊

GGLHY

初看了下，貌似SOFTWARE\Microsoft\Windows\CurrentVersion\hahasoft可以断下来

hxssjy

回复 4# GGLHY
明天有空试试看
SOFTWARE\Microsoft\Windows\CurrentVersion\hahasoft是可以断下来，但是不跳过跟下去，电脑就会倒计时重启

在别人的帮助下找到了注册码，可是还没办法做出注册机

月之精灵

上个图，功能未测试：

月之精灵

回复  GGLHY
明天有空试试看
SOFTWARE\Microsoft\Windows\CurrentVersion\hahasoft是可以断下来，但是不 ...
hxssjy 发表于 2011-5-19 22:56

不知是不是这样哈

GGLHY

呵呵，楼上好快！膜拜下！
趁着BOSS不在，马上OD了下。原来还是明码的哈：




OD中途居然被这软件暗算了下，搞了个关机重启！幸亏有老飘的反关机的东东哈（https://www.chinapyg.com/viewthr ... &extra=page%3D1）在此先谢谢了:handshake

jmpreg

楼上的辛苦了！！！学习ING !!

hxssjy

今天在一个学校试用了一下，功能是全部可以用，但是有一次主机会重启。