这个程序的原来似乎是用UPX加壳的,这次却换用PECompact加壳了. 手动脱壳不难. 程序入口是一对PUSHFD/PUSHAD,在第一个CALL时F8进入,F10往下走一阵. 找到POPAD/POPFD这对指令,在其上设断. 拦下,F10到RET行时便可用Procdump脱壳了. EOP=518024.
注册信息以加密过的形式存放在FlashFxp.ini中,程序启动时读入并解码还原. 因此,设断 bpx getprivateprofilestringa do "dd *(ss:(esp+8))". 运行程序,第2次拦截,数据窗中见到Serial的字样. F12回到程序, F10往下两行,EDX中便是密文形式的序号. 设断bpr. 可以见到程序将序号转放到内存的另一处,同样对这一处设断bpr. 拦下后跟踪,来到
.0047DFFE: 8B4508 mov eax,[ebp][00008]
.0047E001: 8B55F0 mov edx,[ebp][-0010] /在此行设断
.0047E004: E83F5CF8FF call .000403C48
.0047E009: 33C0 xor eax,eax
可以见到EDX中先后出现解码后的序号和姓名(即我们输入的注册信息). 然后F10来到
.00509EB4: E8739FEFFF call .000403E2C /(1)
.00509EB9: 83F802 cmp eax,002 /注册码长度大于姓名长度的2倍?
.00509EBC: 0F8EBA000000 jle .000509F7C /不是则跳开(这里应使其不跳)
.00509EC2: 8B45F8 mov eax,[ebp][-0008]
.00509EC5: 8B55FC mov edx,[ebp][-0004]
.00509EC8: E86FA0EFFF call .000403F3C /(2)
.00509ECD: 0F85A9000000 jne .000509F7C /这里使其不跳
.00509ED3: 8B45FC mov eax,[ebp][-0004]
.00509ED6: E8718CFAFF call .0004B2B4C /(3)
.00509EDB: 84C0 test al,al
.00509EDD: 750B jne .000509EEA /这里使其不跳
.00509EDF: 55 push ebp
.00509EE0: E81FFBFFFF call .000509A04 /(4)
.00509EE5: 59 pop ecx
.00509EE6: 84C0 test al,al
.00509EE8: 752D jne .000509F17 /这里使其跳
.00509EEA: C605582F520001 mov b,[000522F58],001
.00509EF1: 6A00 push 000
.00509EF3: 6A00 push 000
.00509EF5: 6875040000 push 000000475
.00509EFA: A1482F5200 mov eax,[000522F48]
.00509EFF: E8E003F3FF call .00043A2E4
附带说一下,跟踪时可见到程序中一个不小的黑名单. 另外,如果只Patch (1)(2)两处,你可以试试会发生什么. :) 不脱壳直接对程序进行Patch也行,具体做法可参考"侠客之家"IceBird的教程.
相关视频
相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么
热门文章
去除winrar注册框方法
最新文章
比特币病毒怎么破解 比去除winrar注册框方法
华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)通过Access破解MSSQL获得数据
人气排行 华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)qq相册密码破解方法去除winrar注册框方法(适应任何版本)怎么用手机破解收费游戏华为无线猫HG522破解如何给软件脱壳基础教程
查看所有0条评论>>