这个软件很有意思,它的壳被动了手脚,用脱壳机不能自动脱壳,脱壳就死机!
但我觉得作者好蠢,这样会更加激起破解者的斗志的!(猪一头...)
【软件限制】:5天 功能限制
【作者声明】:本人发表这篇文章只是为了学习!!!请不用于商业用途或是将本文方法制作的注册机任意传播,读者看了文章后所做的事情与我无关,我也不会负责,请读者看了文章后三思而后行!最后希望大家在经济基础好的时候,支持共享软件!
【破解工具】:TRW2K
—————————————————————————————————
【过 程】:
这个软件是ASPack 2.12 的壳,由于动了手脚,自动脱壳不成功(一脱就当机,搞得我重起了N次)!
那么就不脱壳动态跟踪吧!(下面的代码是TRW2K复制出来的!)
先运行"短信群发专家3.0 商务版"主程序Powersms.exe-->选择注册-->随便填个用户名Yock和注册码48484848
运行TRW2K-->ctrl+n呼出-->下断点bpx hmemcpy-->f5返回-->按注册-->拦下-->bd暂时清楚断点-->pmodule
来到了这里:
016F:005727F7 8D45F0 LEA EAX,[EBP-10]
016F:005727FA E81917E9FF CALL 00403F18
016F:005727FF 8D55E8 LEA EDX,[EBP-18]
016F:00572802 8B45FC MOV EAX,[EBP-04]
016F:00572805 8B80E8020000 MOV EAX,[EAX+02E8]
016F:0057280B E85C49ECFF CALL 0043716C
// 取用户名和位数
016F:00572810 8B45E8 MOV EAX,[EBP-18]
016F:00572813 8D55F8 LEA EDX,[EBP-08]
016F:00572816 E81D77E9FF CALL 00409F38
// 不清楚
016F:0057281B 837DF800 CMP DWORD [EBP-08],BYTE +00
// 这个不知道是什么!绝对不是比较用户名得位数
016F:0057281F 0F8410010000 JZ NEAR 00572935
// 我这里是没有跳的,如果跳走的话,什么反应也没有
016F:00572825 8D55E4 LEA EDX,[EBP-1C]
016F:00572828 8B45FC MOV EAX,[EBP-04]
016F:0057282B 8B80EC020000 MOV EAX,[EAX+02EC]
016F:00572831 E83649ECFF CALL 0043716C
// 这里是取注册码和位数
016F:00572836 8B45E4 MOV EAX,[EBP-1C]
016F:00572839 8D55F4 LEA EDX,[EBP-0C]
016F:0057283C E8F776E9FF CALL 00409F38
// 不清楚
016F:00572841 8D4DF0 LEA ECX,[EBP-10]
016F:00572844 A100045B00 MOV EAX,[005B0400]
016F:00572849 8B00 MOV EAX,[EAX]
016F:0057284B 8B55F8 MOV EDX,[EBP-08]
// 用户名
016F:0057284E E8898D0000 CALL 0057B5DC
// 哈哈,这里就是关键了!
// 也就是注册码怎么炼成的地方!
// 跟进去
016F:00572853 8B55F4 MOV EDX,[EBP-0C]
// 假码
016F:00572856 8B45F0 MOV EAX,[EBP-10]
// 真码
016F:00572859 E80E75E9FF CALL 00409D6C
//这个是真码和假码得比较CALL
016F:0057285E 85C0 TEST EAX,EAX
// 注册码是否正确得标志比较!
016F:00572860 740F JZ 00572871
// 这个是什么我就不写了(废话!)
016F:00572862 B870295700 MOV EAX,00572970
016F:00572867 E8DCD2EEFF CALL 0045FB48
------------------------------------------------------------------
上面0057284E的CALL来到这里:
// 下面有两个大循环,旁边的注释是第一次循环的!
// 由于会循环30次之多,我就不每一次都写出来了!
016F:0057B5DA 0000 ADD [EAX],AL
016F:0057B5DC 55 PUSH EBP
016F:0057B5DD 8BEC MOV EBP,ESP
016F:0057B5DF 51 PUSH ECX
016F:0057B5E0 B905000000 MOV ECX,05
016F:0057B5E5 6A00 PUSH BYTE +00
016F:0057B5E7 6A00 PUSH BYTE +00
016F:0057B5E9 49 DEC ECX
016F:0057B5EA 75F9 JNZ 0057B5E5
016F:0057B5EC 51 PUSH ECX
016F:0057B5ED 874DFC XCHG ECX,[EBP-04]
016F:0057B5F0 53 PUSH EBX
016F:0057B5F1 56 PUSH ESI
016F:0057B5F2 57 PUSH EDI
016F:0057B5F3 894DF8 MOV [EBP-08],ECX
016F:0057B5F6 8955FC MOV [EBP-04],EDX
016F:0057B5F9 8B45FC MOV EAX,[EBP-04]
016F:0057B5FC E84B8DE8FF CALL 0040434C
016F:0057B601 33C0 XOR EAX,EAX
016F:0057B603 55 PUSH EBP
016F:0057B604 6859B85700 PUSH DWORD 0057B859
016F:0057B609 64FF30 PUSH DWORD [FS:EAX]
016F:0057B60C 648920 MOV [FS:EAX],ESP
016F:0057B60F 8D45E8 LEA EAX,[EBP-18]
016F:0057B612 BA70B85700 MOV EDX,0057B870
// 是一串字母和数字(sef1sn8y3420dnu2ofps)
// 可能是密匙吧!
016F:0057B617 E89489E8FF CALL 00403FB0
016F:0057B61C 8D45EC LEA EAX,[EBP-14]
016F:0057B61F E8F488E8FF CALL 00403F18
016F:0057B624 8D45E4 LEA EAX,[EBP-1C]
016F:0057B627 8B0DFC4E5B00 MOV ECX,[005B4EFC]
// 这里是机器码
016F:0057B62D 8B55FC MOV EDX,[EBP-04]
// 这里是用户名
016F:0057B630 E8AF8BE8FF CALL 004041E4
// 这里是把用户名和机器码连在一起
016F:0057B635 8B45E4 MOV EAX,[EBP-1C]
// 这里就是连在一起的用户名和机器码(用户名在前,机器码在后)
016F:0057B638 E85B8BE8FF CALL 00404198
// 这里是取得用户名和机器码连在一起后的位数!
016F:0057B63D A1FC4E5B00 MOV EAX,[005B4EFC]
// 这里是机器码
016F:0057B642 E8518BE8FF CALL 00404198
// 取机器码的位数
016F:0057B647 8BF0 MOV ESI,EAX
016F:0057B649 85F6 TEST ESI,ESI
// 比较是否有机器码!
016F:0057B64B 0F8EA8000000 JNG NEAR 0057B6F9
// 没有机器码的话就跳走!
016F:0057B651 BB01000000 MOV EBX,01
// 赋值1
016F:0057B656 8D45E0 LEA EAX,[EBP-20]
016F:0057B659 50 PUSH EAX
016F:0057B65A B901000000 MOV ECX,01
//赋值1
016F:0057B65F 8BD3 MOV EDX,EBX
016F:0057B661 A1FC4E5B00 MOV EAX,[005B4EFC]
// 这里是机器码
016F:0057B666 E8358DE8FF CALL 004043A0
// 取机器码的第一位
016F:0057B66B 8B45E0 MOV EAX,[EBP-20]
// 这里是机器码的第一位
016F:0057B66E E8E98CE8FF CALL 0040435C
// 不清楚有什么用!
// 好像是看看是否有机器码第一位
// 没有就不知道跳去哪了!
// 我这里有机器码,所以没有去看看了!
016F:0057B673 8BF8 MOV EDI,EAX
016F:0057B675 8B45FC MOV EAX,[EBP-04]
// 用户名
016F:0057B678 E81B8BE8FF CALL 00404198
// 取用户名位数
016F:0057B67D 3BD8 CMP EBX,EAX
// 比较是否取完
016F:0057B67F 7F1F JG 0057B6A0
// 取完就跳下去
016F:0057B681 8D45DC LEA EAX,[EBP-24]
016F:0057B684 50 PUSH EAX
016F:0057B685 B901000000 MOV ECX,01
016F:0057B68A 8BD3 MOV EDX,EBX
016F:0057B68C 8B45FC MOV EAX,[EBP-04]
// 用户名
016F:0057B68F E80C8DE8FF CALL 004043A0
// 取用户名第一位
016F:0057B694 8B45DC MOV EAX,[EBP-24]
// 这里是用户名第一位
016F:0057B697 E8C08CE8FF CALL 0040435C
// 不清楚有什么用!
// 好像是看看是否有用户名第一位
// 没有就不知道跳去哪了!
// 我输入了用户名,所以没有去看看了!
016F:0057B69C 8BD0 MOV EDX,EAX
016F:0057B69E EB1D JMP SHORT 0057B6BD
016F:0057B6A0 8D45D8 LEA EAX,[EBP-28]
016F:0057B6A3 50 PUSH EAX
016F:0057B6A4 B901000000 MOV ECX,01
016F:0057B6A9 8BD3 MOV EDX,EBX
016F:0057B6AB 8B45E8 MOV EAX,[EBP-18]
// 这里是一串字符和数字(sef1sn8y3420dnu2ofps)
// 当用户名取完就取这里的了!
016F:0057B6AE E8ED8CE8FF CALL 004043A0
// 取这里的第一位!
016F:0057B6B3 8B45D8 MOV EAX,[EBP-28]
// 这里是(sef1sn8y3420dnu2ofps)第一位
// 其实也不能这样说的,应该说是当前的第一位
// 具体你跟一次就知道了!
016F:0057B6B6 E8A18CE8FF CALL 0040435C
016F:0057B6BB 8BD0 MOV EDX,EAX
016F:0057B6BD 8A07 MOV AL,[EDI]
// 这里是机器码第一位的ASCII码入EAX低位
016F:0057B6BF 8A12 MOV DL,[EDX]
// 这里是用户名第一位的ASCII码入EDX低位
016F:0057B6C1 3C41 CMP AL,41
// 比较机器码第一位是否A(ASCII 41=A)
016F:0057B6C3 7502 JNZ 0057B6C7
// 不是就跳走咯...
// 我的是P,所以跳走了
016F:0057B6C5 B066 MOV AL,66
// 哈哈,想把P变成f
016F:0057B6C7 8BF8 MOV EDI,EAX
// 这里EAX=EDI的低位是P
016F:0057B6C9 81E7FF000000 AND EDI,FF
// 现在EDI变成P了!
016F:0057B6CF 33C0 XOR EAX,EAX
// 清零
016F:0057B6D1 8AC2 MOV AL,DL
// AL=DL=ASCII 59
016F:0057B6D3 03F8 ADD EDI,EAX
// EAX+EDI=EDI
016F:0057B6D5 03FB ADD EDI,EBX
// EBX+EDI=EDI
016F:0057B6D7 8D4DD4 LEA ECX,[EBP-2C]
016F:0057B6DA BA02000000 MOV EDX,02
016F:0057B6DF 8BC7 MOV EAX,EDI
016F:0057B6E1 E8C2EBE8FF CALL 0040A2A8
//这里是把寄存器EDI的值放到内存区保存起来!
016F:0057B6E6 8B55D4 MOV EDX,[EBP-2C]
016F:0057B6E9 8D45F0 LEA EAX,[EBP-10]
016F:0057B6EC E8AF8AE8FF CALL 004041A0
//这里是把每次上面得到的EDI值连在一起!
016F:0057B6F1 43 INC EBX
016F:0057B6F2 4E DEC ESI
016F:0057B6F3 0F855DFFFFFF JNZ NEAR 0057B656
// 跳回去继续循环
016F:0057B6F9 8B45F0 MOV EAX,[EBP-10]
// 这里是上面循环运算后0057B6D5处EDI的值连在一起!
016F:0057B6FC E8978AE8FF CALL 00404198
// 取他们的位数!我的是30个!
// 下面将会循环30次!
016F:0057B701 8D45F4 LEA EAX,[EBP-0C]
016F:0057B704 8B55F0 MOV EDX,[EBP-10]
016F:0057B707 E8A488E8FF CALL 00403FB0
016F:0057B70C 8B45F4 MOV EAX,[EBP-0C]
016F:0057B70F E8848AE8FF CALL 00404198
016F:0057B714 8BF0 MOV ESI,EAX
016F:0057B716 85F6 TEST ESI,ESI
016F:0057B718 0F8E0D010000 JNG NEAR 0057B82B
016F:0057B71E BB01000000 MOV EBX,01
//赋值1
016F:0057B723 8B45F4 MOV EAX,[EBP-0C]
016F:0057B726 807C18FF41 CMP BYTE [EAX+EBX-01],41
// 比较这个地方的字符是否等于ASCII*41 (A)
// 如果是的话就到下面换成ASCII*37 (1)
016F:0057B72B 750D JNZ 0057B73A
016F:0057B72D 8D45F4 LEA EAX,[EBP-0C]
016F:0057B730 E8338CE8FF CALL 00404368
016F:0057B735 C64418FF31 MOV BYTE [EAX+EBX-01],31
// 是A的话就换成1
016F:0057B73A 8B45F4 MOV EAX,[EBP-0C]
016F:0057B73D 807C18FF43 CMP BYTE [EAX+EBX-01],43
// 比较这个地方的字符是否等于ASCII*43 (C)
// 如果是的话就到下面换成ASCII*32 (2)
016F:0057B742 750D JNZ 0057B751
016F:0057B744 8D45F4 LEA EAX,[EBP-0C]
016F:0057B747 E81C8CE8FF CALL 00404368
016F:0057B74C C64418FF32 MOV BYTE [EAX+EBX-01],32
// 是C的话就换成2
016F:0057B751 8B45F4 MOV EAX,[EBP-0C]
016F:0057B754 807C18FF44 CMP BYTE [EAX+EBX-01],44
// 比较这个地方的字符是否等于ASCII*44 (D)
// 如果是的话就到下面换成ASCII*33 (3)
016F:0057B759 750D JNZ 0057B768
016F:0057B75B 8D45F4 LEA EAX,[EBP-0C]
016F:0057B75E E8058CE8FF CALL 00404368
016F:0057B763 C64418FF33 MOV BYTE [EAX+EBX-01],33
// 是D的话就换成3
016F:0057B768 8B45F4 MOV EAX,[EBP-0C]
016F:0057B76B 807C18FF46 CMP BYTE [EAX+EBX-01],46
// 比较这个地方的字符是否等于ASCII*46 (F)
// 如果是的话就到下面换成ASCII*32 (2)
016F:0057B770 750D JNZ 0057B77F
016F:0057B772 8D45F4 LEA EAX,[EBP-0C]
016F:0057B775 E8EE8BE8FF CALL 00404368
016F:0057B77A C64418FF32 MOV BYTE [EAX+EBX-01],32
// 是F的话就换成2
016F:0057B77F 8B45F4 MOV EAX,[EBP-0C]
016F:0057B782 807C18FF42 CMP BYTE [EAX+EBX-01],42
// 比较这个地方的字符是否等于ASCII*42 (B)
// 如果是的话就到下面换成ASCII*36 (6)
016F:0057B787 750D JNZ 0057B796
016F:0057B789 8D45F4 LEA EAX,[EBP-0C]
016F:0057B78C E8D78BE8FF CALL 00404368
016F:0057B791 C64418FF36 MOV BYTE [EAX+EBX-01],36
// 是B的话就换成6
016F:0057B796 8B45F4 MOV EAX,[EBP-0C]
016F:0057B799 807C18FF45 CMP BYTE [EAX+EBX-01],45
// 比较这个地方的字符是否等于ASCII*45 (E)
// 如果是的话就到下面换成ASCII*36 (6)
016F:0057B79E 750D JNZ 0057B7AD
016F:0057B7A0 8D45F4 LEA EAX,[EBP-0C]
016F:0057B7A3 E8C08BE8FF CALL 00404368
016F:0057B7A8 C64418FF36 MOV BYTE [EAX+EBX-01],36
// 是E的话就换成6
016F:0057B7AD 8B45F4 MOV EAX,[EBP-0C]
016F:0057B7B0 807C18FF48 CMP BYTE [EAX+EBX-01],48
// 比较这个地方的字符是否等于ASCII*48 (H)
// 如果是的话就到下面换成ASCII*34 (4)
016F:0057B7B5 750D JNZ 0057B7C4
016F:0057B7B7 8D45F4 LEA EAX,[EBP-0C]
016F:0057B7BA E8A98BE8FF CALL 00404368
016F:0057B7BF C64418FF34 MOV BYTE [EAX+EBX-01],34
// 是H的话就换成4
016F:0057B7C4 8B45F4 MOV EAX,[EBP-0C]
016F:0057B7C7 807C18FF30 CMP BYTE [EAX+EBX-01],30
// 比较这个地方的字符是否等于ASCII*30 (0)
// 如果是的话就到下面换成ASCII*38 (8)
016F:0057B7CC 750D JNZ 0057B7DB
016F:0057B7CE 8D45F4 LEA EAX,[EBP-0C]
016F:0057B7D1 E8928BE8FF CALL 00404368
016F:0057B7D6 C64418FF38 MOV BYTE [EAX+EBX-01],38
// 是0的话就换成8
016F:0057B7DB 8B45F4 MOV EAX,[EBP-0C]
016F:0057B7DE 807C18FF47 CMP BYTE [EAX+EBX-01],47
// 比较这个地方的字符是否等于ASCII*47 (G)
// 如果是的话就到下面换成ASCII*33 (3)
016F:0057B7E3 750D JNZ 0057B7F2
016F:0057B7E5 8D45F4 LEA EAX,[EBP-0C]
016F:0057B7E8 E87B8BE8FF CALL 00404368
016F:0057B7ED C64418FF33 MOV BYTE [EAX+EBX-01],33
// 是G的话就换成3
016F:0057B7F2 8B45F4 MOV EAX,[EBP-0C]
016F:0057B7F5 807C18FF4B CMP BYTE [EAX+EBX-01],4B
// 比较这个地方的字符是否等于ASCII*4B (K)
// 如果是的话就到下面换成ASCII*37 (7)
016F:0057B7FA 750D JNZ 0057B809
016F:0057B7FC 8D45F4 LEA EAX,[EBP-0C]
016F:0057B7FF E8648BE8FF CALL 00404368
016F:0057B804 C64418FF37 MOV BYTE [EAX+EBX-01],37
// 是K的话就换成7
016F:0057B809 8D45D0 LEA EAX,[EBP-30]
016F:0057B80C 8B55F4 MOV EDX,[EBP-0C]
016F:0057B80F 8A541AFF MOV DL,[EDX+EBX-01]
016F:0057B813 E8A888E8FF CALL 004040C0
016F:0057B818 8B55D0 MOV EDX,[EBP-30]
016F:0057B81B 8D45EC LEA EAX,[EBP-14]
016F:0057B81E E87D89E8FF CALL 004041A0
016F:0057B823 43 INC EBX
016F:0057B824 4E DEC ESI
016F:0057B825 0F85F8FEFFFF JNZ NEAR 0057B723
// 跳回去继续
// 这里是把0057B6F9处EAX指向地址的值
// 把这些值的A/C/D/F/B/E/H/0/G/K/
// 转换成相对应的数字1/2/3/2/6/6/4/8/3/7/
016F:0057B82B 8B45F8 MOV EAX,[EBP-08]
016F:0057B82E 8B55EC MOV EDX,[EBP-14]
// 哈哈,这里就是真的注册码,真难炼!
016F:0057B831 E83687E8FF CALL 00403F6C
016F:0057B836 33C0 XOR EAX,EAX
016F:0057B838 5A POP EDX
016F:0057B839 59 POP ECX
016F:0057B83A 59 POP ECX
------------------------------------------------------------------
【总 结】:
内存注册机:
中断地址:00572859
中断次数:1
第一字节:E8
字节长度:5
注册码-->寄存器-->EAX
注册信息保存在注册表的:
[HKEY_USERS\.DEFAULT\Identities\More]
"Passwd"="112193626115776466717169132261"
"UsrName"="Yock"
删除就变成未注册!
------------------------------------------------------------------
算法:由于我的语文水平有限,表达得不好,请原谅!
(一下全是16进制数的运算)
用户名的字符依次覆盖到(sef1sn8y3420dnu2ofps)上面,如果用户名是Yock(4位),那么就变成了(Yocksn8y3420dnu2ofps)
再取(Yocksn8y3420dnu2ofps)前面的15[机器码的位数]位!
[ 机器码是PY-C9183234-2FA(15位), 那么取前面15位的话,就变成了Yocksn8y3420dnu ]
[ 假如机器码某一位是ASCII*41=A的话就变成ASCII*66=f来运算! ]
之后Yocksn8y3420dnu的每一位的ASCII码和机器码的每一位ASCII码对应加在一起,再加上机器码当前位的位数!
最后把上面的结果依次连在一起!
连再一起的值的每一位要是等于A/C/D/F/B/E/H/0/G/K/的话,就把它们转换成相对应的数字1/2/3/2/6/6/4/8/3/7/
[ 也就是下面这样 ]
A/C/D/F/B/E/H/0/G/K/
转换成:
1/2/3/2/6/6/4/8/3/7/
最后的结果就是真的注册码了!
-------------------------------------------------------------------
最后在这里真心感谢你花了那么多时间看这篇文章!谢谢了...
|
|
去除winrar注册框方法
比特币病毒怎么破解 比
查看所有2条评论>>