CuteFTP V4.2.4之暴力破解 -pc6资讯

您的位置：首页 → 精文荟萃 → 破解文章 → CuteFTP V4.2.4之暴力破解

CuteFTP V4.2.4之暴力破解 时间：2004/10/15 1:00:00来源：本站整理作者：蓝点我要评论(0)

CuteFTP这个软件可能有些人不是很熟悉，不过对于网上的各位斑竹来说它就再熟悉不过了，因为CuteFTP是使用FTP上传网页的最佳工具，当然一般人也可以用它来下载FTP上的东西。
CuteFTP的加密保护比较狡猾，即便是我们跟踪程序得到正确注册码，可程序本身仅仅是验证输入的用户名是否跟注册码相对应而已，然后随即登录到GLOBALSCAPE公司的服务器，在服务器的数据库中查找是否输入的用户名已经注册在案，因为我们根本就没有进行什么电子注册，所以服务器返回的结果肯定只有失败喽！可恶的是，当一个月的试用期限一到，它便再也不允许使用，此刻即便是卸载后再重新安装也无济于事，也许你会想到它肯定在注册表里做了手脚，那么我们找到并删除注册表中的CuteFTP子键，结果发现问题依旧，还是不能使用，除非你重装整个系统（而且要格式化C盘，太夸张了吧^_^！〕，除了看见那幅硬逼着人注册的画面以外就没有其它的东西了。
按照常规的破解思路，在这个软件的破解过程中，我们首先会去试着取得正确的注册码，进而发现得到正确的注册码是枉费心机，随后我们被逼无奈才要想办法使用暴力对它开肠破肚，让它乖乖的听我们使唤，我想这样其实才是破解的真实过程再现。因为暴力破解始终是不得已而为之的行为，在平常的破解过程中我们你应该力求找到正确的注册码，而不要一开始就来个暴破，这样虽然是吐一时之痛快，可对我们自身破解能力的提高是没有多少好处的，况且这个软件的暴破并不象一般软件那么简单，因为它会对自身代码的完整性进行校验，一旦发现代码被修改就会立即退出，所以不是简单地在关键比较处使用一个JZ<-->JNZ替换就能搞定的。

程序名　：CuteFTP
版本　：V4.2.4 Build 6.25.1
大小　：1,687KB
运行平台：Windows
保护方式：注册码（网络鉴别〕
破解方式：暴力破解
破解难度：中等

破解步骤：

1. 用softice载入windows（通过CTRL+D来检查softice是否已经准备好，按F5退出）；

2. 运行CuteFTP，程序首先弹出注册画面，分别有三个选项：Buy Now(立即购买)、Enter Serial Number(输入注册码)、Continue Trial(继续试用)；

3. 关闭CuteFTP，将你的windows系统时间调后一年(比如从2002年改成2003年)，重新启动CuteFTP，此时你发现原来那个启动画面有了一点点的变化：Buy Now(立即购买)、Enter Serial Number(输入注册码)、Close(关闭)，“Continue Trial(继续试用)”选项变成了“Close(关闭)”，也就是你不能再继续使用CuteFTP；

4. 现在你可以试先卸载CuteFTP，然后重新安装，你会发现仍然是“Close(关闭)”，即不得再次使用它了；既然反安装不管用，那么我们就在注册表中找到CuteFTP的子键，随后删掉它：HKEY_CURRENT_USER\Software\GlobalSCAPE\CuteFTP4.0，结果你会发现问题依旧，真是可恶！为什么要这么这样做？-- 这就叫做“置之死地而后生”，该是时候破解它了，要不然怎么使用呢？

5. 点击“Enter Serial Number(输入注册码)”，在“Serial Number:”中输入“12345678”，“Registered User Name:”中输入“ddcrack”；

6. 用CTRL+D呼出softice，下万能断点：bpx hmemcpy，按F5返回CuteFTP；

7. 点击CuteFTP的“Register”按钮，很快程序就被softice拦截下来；

8. 用 bd * 暂停断点 bpx hmemcpy ；

9. 按F12键8次，返回到CuteFTP的领空，程序停留在下面的地方：

。。。 0167:004E4516　CALL　　　[USER32!GetWindowTextA] 0167:004E451C　MOV　　　 ECX,[EBP+10]　　　　　　　　<-- 我们来到这里 0167:004E451F　PUSH　　　FF 0167:004E4521　CALL　　　004DCA6F 0167:004E4526　JMP　　　 004E4533　　　　　　　　　　<-- 跳到004E4533去结束这段CALL 0167:004E4528　MOV　　　 EAX,[EBP+10] 0167:004E452B　PUSH　　　DWORD PTR [EAX] 0167:004E452D　PUSH　　　ESI 0167:004E452E　CALL　　　004E2C79 0167:004E4533　POP　　　 EDI 0167:004E4534　POP　　　 ESI 0167:004E4535　POP　　　 EBP 0167:004E4536　RET　　　 000C 。。。

10. 看到上面那个CALL　[USER32!GetWindowTextA]了吗？其作用是获取我们输入的信息，这段程序取得输入信息之后就退出了，所以没什么好看的，我们按一下F12走出这个CALL：

。。。 0167:00491403　CALL　　　004E44E7　　　　　　　　　 <-- 这就上面程序段的那个CALL 0167:00491408　PUSH　　　50　　　　　　　　　　　　 <-- 走出上面的CALL后来到里 0167:0049140A　PUSH　　　EBX 0167:0049140B　PUSH　　　ESI 0167:0049140C　CALL　　　004E47C5 0167:00491411　LEA　　　 EBX,[EDI+68] 0167:00491414　PUSH　　　EBX 0167:00491415　PUSH　　　000004DA 0167:0049141A　PUSH　　　ESI 0167:0049141B　CALL　　　004E44E7 0167:00491420　PUSH　　　50 0167:00491422　PUSH　　　EBX 0167:00491423　PUSH　　　ESI 0167:00491424　CALL　　　004E47C5 0167:00491429　LEA　　　 EBX,[EDI+6C] 0167:0049142C　PUSH　　　EBX 0167:0049142D　PUSH　　　000004BA 0167:00491432　PUSH　　　ESI 0167:00491433　CALL　　　004E44E7 0167:00491438　PUSH　　　50 0167:0049143A　PUSH　　　EBX 0167:0049143B　PUSH　　　ESI 0167:0049143C　CALL　　　004E47C5 0167:00491441　LEA　　　 EBX,[EDI+70] 0167:00491444　PUSH　　　EBX 0167:00491445　PUSH　　　00000581 0167:0049144A　PUSH　　　ESI 0167:0049144B　CALL　　　004E44E7 0167:00491450　PUSH　　　50 0167:00491452　PUSH　　　EBX 0167:00491453　PUSH　　　ESI 0167:00491454　CALL　　　004E47C5 0167:00491459　LEA　　　 EBX,[EDI+74] 0167:0049145C　PUSH　　　EBX 0167:0049145D　PUSH　　　000004DB 0167:00491462　PUSH　　　ESI 0167:00491463　CALL　　　004E44E7 0167:00491468　PUSH　　　50 0167:0049146A　PUSH　　　EBX 0167:0049146B　PUSH　　　ESI 0167:0049146C　CALL　　　004E47C5 0167:00491471　LEA　　　 EBX,[EDI+78] 0167:00491474　PUSH　　　EBX 0167:00491475　PUSH　　　00000593 0167:0049147A　PUSH　　　ESI 0167:0049147B　CALL　　　004E44E7 0167:00491480　PUSH　　　50 0167:00491482　PUSH　　　EBX 0167:00491483　PUSH　　　ESI 0167:00491484　CALL　　　004E47C5 0167:00491489　LEA　　　 EBX,[EDI+7C] 0167:0049148C　PUSH　　　EBX 0167:0049148D　PUSH　　　00000591 0167:00491492　PUSH　　　ESI 0167:00491493　CALL　　　004E44E7 0167:00491498　PUSH　　　50 0167:0049149A　PUSH　　　EBX 0167:0049149B　PUSH　　　ESI 0167:0049149C　CALL　　　004E47C5 0167:004914A1　LEA　　　 EBX,[EDI+00000080] 0167:004914A7　PUSH　　　EBX 0167:004914A8　PUSH　　　0000058E 0167:004914AD　PUSH　　　ESI 0167:004914AE　CALL　　　004E44E7 0167:004914B3　PUSH　　　50 0167:004914B5　PUSH　　　EBX 0167:004914B6　PUSH　　　ESI 0167:004914B7　CALL　　　004E47C5 0167:004914BC　LEA　　　 EBX,[EDI+00000088] 0167:004914C2　PUSH　　　EBX 0167:004914C3　PUSH　　　0000058B 0167:004914C8　PUSH　　　ESI 0167:004914C9　CALL　　　004E44E7 0167:004914CE　PUSH　　　50 0167:004914D0　PUSH　　　EBX 0167:004914D1　PUSH　　　ESI 0167:004914D2　CALL　　　004E47C5 0167:004914D7　LEA　　　 EBX,[EDI+00000090] 0167:004914DD　PUSH　　　EBX 0167:004914DE　PUSH　　　00000587 0167:004914E3　PUSH　　　ESI 0167:004914E4　CALL　　　004E44E7 0167:004914E9　PUSH　　　50 0167:004914EB　PUSH　　　EBX 0167:004914EC　PUSH　　　ESI 0167:004914ED　CALL　　　004E47C5 0167:004914F2　LEA　　　 EBX,[EDI+00000094] 0167:004914F8　PUSH　　　EBX 0167:004914F9　PUSH　　　000004DE 0167:004914FE　PUSH　　　ESI 0167:004914FF　CALL　　　004E44E7 0167:00491504　PUSH　　　14 0167:00491506　PUSH　　　EBX 0167:00491507　PUSH　　　ESI 0167:00491508　CALL　　　004E47C5 0167:0049150D　ADD　　　 EDI,00000098 0167:00491513　PUSH　　　EDI 0167:00491514　PUSH　　　000004ED 0167:00491519　PUSH　　　ESI 0167:0049151A　CALL　　　004E44E7 0167:0049151F　PUSH　　　50 0167:00491521　PUSH　　　EDI 0167:00491522　PUSH　　　ESI 0167:00491523　CALL　　　004E47C5 0167:00491528　POP　　　 EDI 0167:00491529　POP　　　 ESI 0167:0049152A　POP　　　 EBX 0167:0049152B　RET　　　 0004 。。。

11. 上面的程序段比较长，可是大家不要害怕，因为这段程序更本就没有任何值得怀疑的地方，换句话说，也就是没有任何的比较指令，当然也就没有判断注册码的关键所在，所以我们不用理它，再按F12退出这里：

。。。 0167:004DAF6F　CALL　　　[EAX+00000084] 0167:004DAF75　MOV　　　 DWORD PTR [EBP+08],00000001　<-- 到这里来了 0167:004DAF7C　JMP　　　 004DAFA5　　　　　　　　　　 <-- 跳到004DAFA5去 0167:004DAF7E　MOV　　　 EAX,004DAFA2 0167:004DAF83　RET 0167:004DAF84　MOV　　　 ESI,[EBP-1C] 0167:004DAF87　PUSH　　　0000F108 0167:004DAF8C　PUSH　　　30 0167:004DAF8E　MOV　　　 ECX,ESI 0167:004DAF90　MOV　　　 EAX,[ESI] 0167:004DAF92　CALL　　　[EAX+10] 0167:004DAF95　MOV　　　 ECX,ESI 0167:004DAF97　CALL　　　004DE370 0167:004DAF9C　MOV　　　 EAX,004DAFA2 0167:004DAFA1　RET 0167:004DAFA2　MOV　　　 EDI,[EBP-14] 0167:004DAFA5　MOV　　　 EAX,[EBP-18] 0167:004DAFA8　MOV　　　 ECX,[EBP-0C] 0167:004DAFAB　MOV　　　 [EDI+000000B8],EAX 0167:004DAFB1　MOV　　　 EAX,[EBP+08] 0167:004DAFB4　POP　　　 EDI 0167:004DAFB5　POP　　　 ESI 0167:004DAFB6　MOV　　　 FS:[00000000],ECX 0167:004DAFBD　POP　　　 EBX 0167:004DAFBE　LEAVE 0167:004DAFBF　RET　　　 0004 。。。

12. 看出上面的程序有什么问题吗？-- 是的，没有，都是垃圾！我们继续按F12跳出这一层CALL：

。。。 0167:0049155F　CALL　　　004DAF20 0167:00491564　TEST　　　EAX,EAX　　　　　　　　　　 <-- 走出上面的CALL后来到里 0167:00491566　JZ　　　　00491B28　　　　　　　　　　<-- 比较什么，不管它！ 0167:0049156C　LEA　　　 EDI,[ESI+00000094] 0167:00491572　MOV　　　 DWORD PTR [ESP+0C],7FFFFFFF 0167:0049157A　MOV　　　 ECX,EDI 0167:0049157C　CALL　　　004D3499 0167:00491581　MOV　　　 ECX,EDI 0167:00491583　CALL　　　004D33E5 0167:00491588　MOV　　　 EAX,[EDI] 0167:0049158A　MOV　　　 ECX,ESI 0167:0049158C　PUSH　　　EAX 0167:0049158D　PUSH　　　000004DE 0167:00491592　CALL　　　004DBA5D 0167:00491597　PUSH　　　00 0167:00491599　MOV　　　 ECX,EDI 0167:0049159B　CALL　　　004DCA20 0167:004915A0　PUSH　　　EAX　　　　　　　　　　　　<-- 注意：EAX指向我们输入的注册码“12345678” 0167:004915A1　LEA　　　 EAX,[ESP+10] 0167:004915A5　PUSH　　　EAX 0167:004915A6　CALL　　　004B7240　　　　　　　　　 <-- 按F8杀进去 0167:004915AB　ADD　　　 ESP,08 0167:004915AE　TEST　　　AX,AX 0167:004915B1　JNZ　　　 00491621 0167:004915B3　LEA　　　 ECX,[ESP+14] 0167:004915B7　PUSH　　　0000F05D 0167:004915BC　PUSH　　　ECX 0167:004915BD　CALL　　　00425450 0167:004915C2　MOV　　　 EDI,[EAX] 0167:004915C4　LEA　　　 EDX,[ESP+18] 0167:004915C8　PUSH　　　0000F057 0167:004915CD　PUSH　　　EDX 0167:004915CE　MOV　　　 DWORD PTR [ESP+68],00000000 0167:004915D6　CALL　　　00425450 0167:004915DB　ADD　　　 ESP,10 0167:004915DE　MOV　　　 EAX,[EAX] 0167:004915E0　PUSH　　　00 0167:004915E2　PUSH　　　EDI 0167:004915E3　PUSH　　　EAX 0167:004915E4　MOV　　　 ECX,ESI 0167:004915E6　MOV　　　 BYTE PTR [ESP+64],01 0167:004915EB　CALL　　　004DA2A9 0167:004915F0　LEA　　　 ECX,[ESP+10] 0167:004915F4　MOV　　　 BYTE PTR [ESP+58],00 0167:004915F9　CALL　　　004DC5F0 0167:004915FE　LEA　　　 ECX,[ESP+14] 0167:00491602　MOV　　　 DWORD PTR [ESP+58],FFFFFFFF 0167:0049160A　CALL　　　004DC5F0 0167:0049160F　MOV　　　 ECX,[ESP+50] 0167:00491613　MOV　　　 FS:[00000000],ECX 0167:0049161A　POP　　　 EDI 0167:0049161B　POP　　　 ESI 0167:0049161C　POP　　　 EBP 0167:0049161D　ADD　　　 ESP,50 0167:00491620　RET 。。。

13. 上面的程序有些意思了，一开始我们就碰到一条0167:00491564　TEST　EAX,EAX，什么作用呢？-- 我们不用去关心？为啥？-- 因为我们一路跟踪程序来到这里，似乎并没有发现对注册码进行运算的地方，所以程序没有理由在这里就已经知道注册码的正确与否！其实这是个小技巧，通常跟踪程序时我们从程序领空一步一步退回到其核心部分时都会立马碰上这样一条指令，其作用无非是判断用户是否输入了正确的字符(例如用户名或注册码不能为“空”，不能为某些字符等等)；

14. 按F10往下跟踪，走到0167:004915A0　PUSH　EAX时我们发现它下面有个CALL和比较指令，所以我们要格外留意这里，用命令 D EAX，可以发现内存中藏着我们输入的注册码“12345678”，走到0167:004915A5　PUSH　EAX时也用 D EAX，不过什么也没发现；那么0167:004915A6处的CALL　004B7240有什么作用，我们要观察一下：鼠标双击0167:004915A0　PUSH　EAX，在此设置一断点，然后按F10一直往下走，当走过0167:004915EB　CALL　004DA2A9时CuteFTP弹出错误框，提示输入的注册码无效，OK，CALL　004B7240肯定跟注册码的验证息息相关，让我们进去看看；

15. 重新进行注册，按“Register”之后我们马上来到刚才设置过断点的0167:004915A0　PUSH　EAX处，走到CALL　004B7240时按F8杀进去：

。。。 0167:004B7240　SUB　　　 ESP,20 0167:004B7243　OR　　　　ECX,-01 0167:004B7246　XOR　　　 EAX,EAX 0167:004B7248　PUSH　　　ESI 0167:004B7249　MOV　　　 ESI,[ESP+2C] 0167:004B724D　PUSH　　　EDI 0167:004B724E　MOV　　　 EDI,ESI　　　　　　　　　　<-- EDI指向我们输入的注册码“12345678” 0167:004B7250　REPNZ SCASB 0167:004B7252　NOT　　　 ECX 0167:004B7254　DEC　　　 ECX 0167:004B7255　CMP　　　 ECX,0E　　　　　　　　　　 <-- 注册码位数是14位吗？ 0167:004B7258　JNZ　　　 004B72CD　　　　　　　　　 <-- 不是，GAME OVER！。。。 0167:004B72CD　MOV　　　 ECX,[ESP+2C] 0167:004B72D1　POP　　　 EDI 0167:004B72D2　XOR　　　 AX,AX 0167:004B72D5　POP　　　 ESI 0167:004B72D6　MOV　　　 DWORD PTR [ECX],FFFFFFFF 0167:004B72DC　ADD　　　 ESP,20 0167:004B72DF　RET 。。。

16. 上面这段程序作用很简单，就是判断我们输入的注册码是否是14位，如果不是，程序就提前结束，因为我们输入的注册码是8位，按照程序正常的执行顺序，肯定会在0167:004B7258　JNZ　004B72CD时提前出局的，为了骗过程序，当走到0167:004B7258　JNZ　004B72CD时用命令 RFL Z，然后我们就可以继续往下走了：

。。。 0167:004B7258　JNZ　　　 004B72CD　　　　　　　　　<-- 不用跳过去了 0167:004B725A　PUSH　　　ESI　　　　　　　　　　　 <-- 这里开路^_^ 0167:004B725B　CALL　　　004C53C3 0167:004B7260　PUSH　　　0E 0167:004B7262　LEA　　　 EAX,[ESP+20] 0167:004B7266　PUSH　　　ESI 0167:004B7267　PUSH　　　EAX 0167:004B7268　CALL　　　004C2E70 0167:004B726D　LEA　　　 ECX,[ESP+28] 0167:004B7271　MOV　　　 BYTE PTR [ESP+36],00 0167:004B7276　PUSH　　　ECX 0167:004B7277　CALL　　　00499480 0167:004B727C　MOV　　　 ESI,EAX 0167:004B727E　PUSH　　　ESI 0167:004B727F　CALL　　　00499170 0167:004B7284　LEA　　　 EDX,[ESP+20] 0167:004B7288　MOV　　　 EDI,EAX 0167:004B728A　PUSH　　　EDX 0167:004B728B　PUSH　　　ESI 0167:004B728C　MOV　　　 BYTE PTR [ESP+28],00 0167:004B7291　CALL　　　00499300 0167:004B7296　LEA　　　 EAX,[ESP+38] 0167:004B729A　PUSH　　　0E 0167:004B729C　LEA　　　 ECX,[ESP+2C] 0167:004B72A0　PUSH　　　EAX　　　　　　　　　　<-- EAX指向我们输入的注册码“12345678” 0167:004B72A1　PUSH　　　ECX　　　　　　　　　　<-- EDI指向字符串“A2222222222222” 0167:004B72A2　CALL　　　004C3C20 0167:004B72A7　ADD　　　 ESP,2C 0167:004B72AA　TEST　　　EAX,EAX 0167:004B72AC　JNZ　　　 004B72BE 0167:004B72AE　MOV　　　 EDX,[ESP+2C] 0167:004B72B2　OR　　　　AX,FFFF 0167:004B72B6　MOV　　　 [EDX],EDI 0167:004B72B8　POP　　　 EDI 0167:004B72B9　POP　　　 ESI 0167:004B72BA　ADD　　　 ESP,20 0167:004B72BD　RET 。。。

17. 按F10继续往下跟踪，看见没有：0167:004B72A2处的CALL　004C3C20后面有比较，可疑！按F10走到CALL　004C3C20停下，分别用命令 D EAX 和 D ECX，我们可疑看到两串字符，一是输入的注册码“12345678”，二是字符串“A2222222222222”，哈哈，不用说，“A2222222222222”就是正确的注册码了！咋样？找到这里还不算难吧^_^

18. 按F5退出softice，输入用户名“ddcrack”和注册码“A2222222222222”，发现什么了？-- CuteFTP马上试图登录到GLOBALSCAPE公司的服务器，不论你的机是否已连上网，你都发现最终还是不能注册，尽管我们拥有“正确”的用户名和注册码，可是最终的验证不是在本地，而是在网络的另一端：GLOBALSCAPE公司的服务器。

19. 这真叫“敬酒不吃吃罚酒，给脸不要脸”，哈哈。。。，软的不行，我们只好来硬的，暴破！真是不好意思，但也是不得以而为之啊！^_^

20. 暴破第一步：因为程序不让我们使用，甚至是反安装、手动删掉注册标中的相应键值也不行，那么现在最要紧的就是让程序能够再次“试用”，即返回到最初安装时使用的状态。为什么我们做了那些努力仍然不能再次使用程序呢？原因只有一个：程序在某个地方做了手脚，在哪里呢？因为我们已经手动删掉了注册表中的CuteFTP子键，所以很可能程序不是在注册表中做的记号，而是在硬盘的某个文件里做了记号，好的，让我们去找吧！

21. 关闭退出CuteFTP，启动FileMon(在“破解工具”的“监测工具”里下载)，接着启动CuteFTP，当CuteFTP重新弹出注册框时选择FileMon中“Option”下的“Capture Events”，这时“Capture Events”前面的钩号消失，即让FileMon暂停监视文件调用，我们在FileMon的输出窗口中找到有关Cutftp的项目，如下所示：

。。。 349 7:54:02 PM Cutftp32 Directory D:\TOOLS\CUTEFTP SUCCESS CHECK 350 7:54:02 PM Cutftp32 FindOpen C:\WINDOWS\WIN.INI SUCCESS WIN.INI 351 7:54:02 PM Cutftp32 FindClose C:\WINDOWS\WIN.INI SUCCESS 352 7:54:02 PM Cutftp32 Open C:\WINDOWS\WIN.INI SUCCESS OPENEXISTING READWRITE DENYWRITE 353 7:54:02 PM Cutftp32 Ioctl C: SUCCESS Subfunction: 08h 354 7:54:02 PM Cutftp32 Attributes C:\WINDOWS\WIN.INI SUCCESS Get Modify 355 7:54:02 PM Cutftp32 Seek C:\WINDOWS\WIN.INI SUCCESS End Offset: 0 / New offset: 0 356 7:54:02 PM Cutftp32 Seek C:\WINDOWS\WIN.INI SUCCESS Beginning Offset: 0 / New offset: 0 357 7:54:02 PM Cutftp32 Read C:\WINDOWS\WIN.INI SUCCESS Offset: 0 Length: 9855 358 7:54:02 PM Cutftp32 Close C:\WINDOWS\WIN.INI SUCCESS CLOSE_FINAL 359 7:54:02 PM Cutftp32 Attributes D:\TOOLS\CUTEFTP\CUTFTP32.EXE.LOCAL NOTFOUND GetAttributes 360 7:54:02 PM Cutftp32 Seek C:\WINDOWS\SYSTEM\MMSYSTEM.DLL SUCCESS Beginning Offset: 1841 / New offset: 1841 361 7:54:02 PM Cutftp32 Read C:\WINDOWS\SYSTEM\MMSYSTEM.DLL SUCCESS Offset: 1841 Length: 2935 362 7:54:02 PM Cutftp32 Seek C:\WINDOWS\SYSTEM\MMSYSTEM.DLL SUCCESS Beginning Offset: 1841 / New offset: 1841 363 7:54:02 PM Cutftp32 Read C:\WINDOWS\SYSTEM\MMSYSTEM.DLL SUCCESS Offset: 1841 Length: 2935 364 7:54:02 PM Cutftp32 Read C:\WINDOWS\SYSTEM\WSOCK32.DLL SUCCESS Offset: 24576 Length: 2560 365 7:54:02 PM Cutftp32 Attributes D:\TOOLS\CUTEFTP\WS2_32.DLL NOTFOUND GetAttributes 366 7:54:02 PM Cutftp32 Attributes C:\WINDOWS\SYSTEM\WS2_32.DLL SUCCESS GetAttributes 367 7:54:02 PM Cutftp32 Directory C:\WINDOWS\SYSTEM\WS2_32.DLL SUCCESS QUERY 368 7:54:02 PM Cutftp32 Read C:\WINDOWS\SYSTEM\WS2_32.DLL SUCCESS Offset: 61440 Length: 2560 369 7:54:02 PM Cutftp32 Read C:\WINDOWS\SYSTEM\MSVCRT.DLL SUCCESS Offset: 229376 Length: 4096 370 7:54:02 PM Cutftp32 Read C:\WINDOWS\SYSTEM\MSVCRT.DLL SUCCESS Offset: 229376 Length: 4096 371 7:54:02 PM Cutftp32 Read C:\WINDOWS\SYSTEM\MSVCRT.DLL SUCCESS Offset: 204800 Length: 4096 372 7:54:02 PM Cutftp32 Read C:\WINDOWS\SYSTEM\MSVCRT.DLL SUCCESS Offset: 204800 Length: 4096 373 7:54:02 PM Cutftp32 Attributes D:\TOOLS\CUTEFTP\WS2HELP.DLL NOTFOUND GetAttributes 374 7:54:02 PM Cutftp32 Attributes C:\WINDOWS\SYSTEM\WS2HELP.DLL SUCCESS GetAttributes 375 7:54:02 PM Cutftp32 Directory C:\WINDOWS\SYSTEM\WS2HELP.DLL SUCCESS QUERY 。。。下面还有行多省略掉了。。。。。。

注意：这里是关键，一定要仔细查看是否有可疑文件(也就是可能被CuteFTP做上标记的文件)，你会发现CuteFTP除了效用一些动态链接库之外就没有什么异常活动了；看来问题并没有出在文件上，那么我们现在又只好怀疑到注册表身上去了；

21. 重新关闭退出CuteFTP，启动RegMon(在“破解工具”的“监测工具”里下载)，接着启动CuteFTP，当CuteFTP重新弹出注册框时选择RegMon中“Option”下的“Capture Events”，这时“Capture Events”前面的钩号消失，让RegMon暂停注册表调用情况，在RegMon的输出窗口中找到有关Cutftp的项目，如下所示：

。。。 1822 6.48367440 Cutftp32 QueryValueEx 0xC1887480\WS2_32 NOTFOUND 1823 6.48761440 Cutftp32 QueryValueEx 0xC1887480\MSVCRT SUCCESS "MSVCRT.DLL" 1824 6.48934480 Cutftp32 QueryValueEx 0xC1887480\WS2HELP NOTFOUND 1825 6.49726320 Cutftp32 OpenKey HKLM\Software\Microsoft\Windows\CurrentVersion SUCCESS hKey: 0xC69AAB20 1826 6.49731040 Cutftp32 QueryValueEx HKLM\Software\Microsoft\Windows\CurrentVersion\SubVersionNumber SUCCESS 20 41 20 0 1827 6.49732960 Cutftp32 CloseKey HKLM\Software\Microsoft\Windows\CurrentVersion SUCCESS 1828 6.49982160 Cutftp32 OpenKey HKLM\System\CurrentControlSet\Services\Winsock\Autodial SUCCESS hKey: 0xC69AAB20 1829 6.49987680 Cutftp32 QueryValueEx HKLM\System\CurrentControlSet\Services\Winsock\Autodial\AutodialDllName32 SUCCESS 77 69 6E 69 6E 65 74 2E ... 1830 6.49992240 Cutftp32 QueryValueEx HKLM\System\CurrentControlSet\Services\Winsock\Autodial\AutodialFcnName32 SUCCESS 49 6E 74 65 72 6E 65 74 ... 1831 6.50027760 Cutftp32 OpenKey HKLM\Software\Microsoft\Windows\CurrentVersion SUCCESS hKey: 0xC69A9CA0 1832 6.50031280 Cutftp32 QueryValueEx HKLM\Software\Microsoft\Windows\CurrentVersion\ServicePackNumber NOTFOUND 1833 6.50034800 Cutftp32 QueryValueEx HKLM\Software\Microsoft\Windows\CurrentVersion\SubVersionNumber SUCCESS 20 41 20 0 1834 6.50036640 Cutftp32 CloseKey HKLM\Software\Microsoft\Windows\CurrentVersion SUCCESS 1835 6.50041680 Cutftp32 OpenKey HKLM\System\CurrentControlSet\Control\ProductOptions NOTFOUND 1836 6.50072000 Cutftp32 OpenKey HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Performance NOTFOUND 1837 6.50078640 Cutftp32 OpenKey HKLM\Software\Microsoft\Windows\CurrentVersion SUCCESS hKey: 0xC69A9CA0 1838 6.50082480 Cutftp32 QueryValueEx HKLM\Software\Microsoft\Windows\CurrentVersion\SubVersionNumber SUCCESS 20 41 20 0 1839 6.50084320 Cutftp32 CloseKey HKLM\Software\Microsoft\Windows\CurrentVersion SUCCESS 1840 6.50150320 Cutftp32 OpenKey HKLM\Software\Microsoft\Windows\CurrentVersion SUCCESS hKey: 0xC69A9CA0 1841 6.50154080 Cutftp32 QueryValueEx HKLM\Software\Microsoft\Windows\CurrentVersion\SubVersionNumber SUCCESS 20 41 20 0 1842 6.50155920 Cutftp32 CloseKey HKLM\Software\Microsoft\Windows\CurrentVersion SUCCESS 1843 6.50184080 Cutftp32 OpenKey HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings SUCCESS hKey: 0xC188A480 1844 6.50189600 Cutftp32 CloseKey HKLM\System\CurrentControlSet\Services\Winsock\Autodial SUCCESS 1845 6.50201600 Cutftp32 QueryValueEx 0xC1887480\MSWSOCK NOTFOUND 1846 6.50763920 Cutftp32 OpenKey HKCU\Control Panel\Desktop SUCCESS hKey: 0xC69AAB20 1847 6.50767840 Cutftp32 QueryValueEx HKCU\Control Panel\Desktop\SmoothScroll NOTFOUND 1848 6.50769680 Cutftp32 CloseKey HKCU\Control Panel\Desktop SUCCESS 1849 6.50781360 Cutftp32 OpenKey HKCU\Control Panel\Mouse NOTFOUND 1850 6.51102160 Cutftp32 OpenKey HKCR\CLSID SUCCESS hKey: 0xC188A570 1851 6.51107760 Cutftp32 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer SUCCESS hKey: 0xC188A5A0 1852 6.51112640 Cutftp32 CreateKey HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer SUCCESS hKey: 0xC188A5D0 1853 6.51185120 Cutftp32 OpenKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Documents SUCCESS hKey: 0xC69AAB20 1854 6.51188080 Cutftp32 QueryValueEx HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Documents\DisableStartInMyDocs NOTFOUND 1855 6.51190320 Cutftp32 QueryValueEx HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Documents\HideMyDocsFolder NOTFOUND 1856 6.51192480 Cutftp32 CloseKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Documents SUCCESS 。。。下面还有行多省略掉了。。。。。。 3333 6.81469040 Cutftp32 CloseKey HKCU\software\GlobalSCAPE\CuteFTP 4.0 SUCCESS 3334 6.81473760 Cutftp32 OpenKey 0xC69AA790\CuteFTP SUCCESS hKey: 0xC69AAA70 3335 6.81476000 Cutftp32 CloseKey 0xC69AA790 SUCCESS 3336 6.81478640 Cutftp32 QueryValueEx 0xC69AA790\CuteFTP\StartUp SUCCESS 0xC8 3337 6.81480240 Cutftp32 CloseKey 0xC69AA790\CuteFTP SUCCESS 3338 6.81549920 Cutftp32 DeleteKey HKCR\ram\CFK12 NOTFOUND 3339 6.81618080 Cutftp32 DeleteKey HKCR\ram\CFK13 NOTFOUND 3340 6.81685920 Cutftp32 DeleteKey HKCR\ram\CFK14 NOTFOUND 3341 6.81753680 Cutftp32 DeleteKey HKCR\ram\CFK15 NOTFOUND 3342 6.81822800 Cutftp32 DeleteKey HKCR\ram\CFK25 NOTFOUND 　　　　　　　　 3343 6.86191360 Cutftp32 OpenKey HKCR\ram\CFK40 SUCCESS hKey: 0xC69AAA70 3344 6.86194560 Cutftp32 QueryValue HKCR\ram\CFK40\(Default) SUCCESS "3c3bd806,1e" 3345 6.86225840 Cutftp32 SetValue HKCR\ram\CFK40\(Default) SUCCESS "3c3bd806,1f" 3346 6.86227920 Cutftp32 CloseKey HKCR\ram\CFK40 SUCCESS 　　　　　　　　　　　　　　 <-- 注意红色的这几行，非常可疑 3347 6.86334080 Cutftp32 OpenKey HKCR\CLSID\{1E5AFA70-F67A-11D3-8620-0090279BA8F9} NOTFOUND 3348 6.86335920 Cutftp32 CloseKey 0x0 BADKEY 3349 6.86400640 Cutftp32 DeleteKey HKCR\CLSID\{1E5AFA70-F67A-11D3-8620-0090279BA8F9} NOTFOUND 3350 6.86468160 Cutftp32 OpenKey HKCR\CLSID\{1E5AFA73-F67A-11D3-8620-0090279BA8F9} NOTFOUND 3351 6.86470320 Cutftp32 CloseKey 0x55DE30 BADKEY 3352 6.86534480 Cutftp32 DeleteKey HKCR\CLSID\{1E5AFA73-F67A-11D3-8620-0090279BA8F9} NOTFOUND 。。。下面还有行多省略掉了。。。。。。

仔细观察RegMon的输出结果，你会在3338行到3343行之间发现Cutftp试图对名为“CFK13”、“CFK14”、“CFK15”、“CFK25”和“CFK40”的可疑子键进行操作，但是结果只有对“CFK40”的操作成功，并设置了值，这是不是我们要找的那个标记呢？看看便知：

22. 上面的“HKCR\ram\CFK40”其实就是注册表中的下列路径：“HKEY_CLASSES_ROOT\ram\CFK40”，在windows的开始菜单中选择“运行(Run...)”，输入注册表管理器程序名“regedit”，回车，进入注册表编辑环境，删掉子键“HKEY_CLASSES_ROOT\ram\CFK40”；重新启动CuteFTP，哈哈。。。，那个“Close(关闭)”选项又变回最初的“Start Trial(开始试用)”，我们可以无限制的继续“试用”CuteFTP了，暴破第一步目标已经达到！^_^

23. 暴破第二步：去掉启动时的注册框，其实想想就能知道如果正确注册成功后，启动CuteFTP时应该就没有什么注册框了，所以去掉这个可恶的提示框绝对是没有问题的。若要去掉启动的注册画面，我们就必须找到弹出这个CALL的地方，方法有三：其一、用softice的symbol loader装载CuteFTP，然后一步一步的跟踪；其二、利用W32Dasm反汇编CuteFTP，然后对其进行静态分析，从“关键信息”找到调用它的源头；其三、在CuteFTP弹出注册框的时刻拦截它，然后回头跟踪，不过这种方法很可能不行，因为你常常都能发现找不到CALL的源头，但是如果能找到的话这却是个较快的办法，这里我们使用第二种方法：

24. 重新关闭退出CuteFTP，启动W32Dasm(在“破解工具”的“反编译工具”里下载)，打开CuteFTP进行反汇编，现在我们要找到程序中跟注册框有关的地方，回头看看启动的注册画面，我们可以看到“Evaluation Period”的字样，我们就用它作为敲门砖。点击“Search”下的“Find Text”，输入“Evaluation Period”进行查找，我们可以发现如下的程序段：

。。。 * Possible StringData Ref from Data Obj ->"FTPURL=" 　　　　　　　　　　　　　　　　　| :0043C561 6860525500　　　　　　　push 00555260 :0043C566 52　　　　　　　　　　　push edx :0043C567 E804750800　　　　　　　call 004C3A70 :0043C56C 83C408　　　　　　　　　add esp, 00000008 :0043C56F 85C0　　　　　　　　　　test eax, eax :0043C571 7437　　　　　　　　　　je 0043C5AA * Referenced by a (U)nconditional or (C)onditional Jump at Address: |:0043C55C(C) | :0043C573 8D442410　　　　　　　　lea eax, dword ptr [esp+10] * Possible Reference to String Resource ID=62151: "Because CuteFTP is past the evaluation period, you must rest" <-- 注意这里是我们找到的字符串　　　　　　　　　　　　　　　　　| :0043C577 68C7F20000　　　　　　　push 0000F2C7 :0043C57C 50　　　　　　　　　　　push eax :0043C57D E8CE8EFEFF　　　　　　　call 00425450 :0043C582 83C408　　　　　　　　　add esp, 00000008 :0043C585 8B00　　　　　　　　　　mov eax, dword ptr [eax] :0043C587 6A00　　　　　　　　　　push 00000000 :0043C589 6A00　　　　　　　　　　push 00000000 :0043C58B 50　　　　　　　　　　　push eax :0043C58C C684246801000001　　　　mov byte ptr [esp+00000168], 01 :0043C594 E8EABE0A00　　　　　　　call 004E8483 :0043C599 8D4C2410　　　　　　　　lea ecx, dword ptr [esp+10] :0043C59D C684245C01000000　　　　mov byte ptr [esp+0000015C], 00 :0043C5A5 E846000A00　　　　　　　call 004DC5F0 * Referenced by a (U)nconditional or (C)onditional Jump at Address: |:0043C571(C) | :0043C5AA 8BCD　　　　　　　　　　mov ecx, ebp :0043C5AC E84F890000　　　　　　　call 00444F00 :0043C5B1 6A00　　　　　　　　　　push 00000000 * Possible StringData Ref from Data Obj ->"IntegrationEnableBrowserMonitor" 　　　　　　　　　　　　　　　　　| :0043C5B3 68744F5500　　　　　　　push 00554F74 * Possible StringData Ref from Data Obj ->"Browser Integration" 　　　　　　　　　　　　　　　　　| :0043C5B8 68604F5500　　　　　　　push 00554F60 :0043C5BD 8BCD　　　　　　　　　　mov ecx, ebp 。。。

25. 如果你上下打量，就能知道这里就是弹出启动画面的地方（已经到期的画面，不过都是启动画面，“换汤不换药”而已），往前走，找到CALL这段程序的源头：

。。。 * Possible StringData Ref from Data Obj ->"CuteFTP" 　　　　　　　　　　　　　　　　　| :0043B849 68F4235500　　　　　　　push 005523F4 :0043B84E 8BCB　　　　　　　　　　mov ecx, ebx :0043B850 E82CB70B00　　　　　　　call 004F6F81 :0043B855 8983DC000000　　　　　　mov dword ptr [ebx+000000DC], eax :0043B85B B801000000　　　　　　　mov eax, 00000001 :0043B860 898344060000　　　　　　mov dword ptr [ebx+00000644], eax :0043B866 898380060000　　　　　　mov dword ptr [ebx+00000680], eax :0043B86C E8FF4F0500　　　　　　　call 00490870 :0043B871 85C0　　　　　　　　　　test eax, eax :0043B873 753D　　　　　　　　　　jne 0043B8B2　　　　　　　　　　　　　　　　　　 <-- 这里可以跳过上面的程序 :0043B875 33F6　　　　　　　　　　xor esi, esi :0043B877 8BCB　　　　　　　　　　mov ecx, ebx :0043B879 56　　　　　　　　　　　push esi * Possible StringData Ref from Data Obj ->"TSUninstaller" 　　　　　　　　　　　　　　　　　| :0043B87A 68DC465500　　　　　　　push 005546DC * Possible StringData Ref from Data Obj ->"CuteFTP" 　　　　　　　　　　　　　　　　　| :0043B87F 68F4235500　　　　　　　push 005523F4 :0043B884 E85B890A00　　　　　　　call 004E41E4 :0043B889 89B380060000　　　　　　mov dword ptr [ebx+00000680], esi :0043B88F 6A01　　　　　　　　　　push 00000001 :0043B891 8BCB　　　　　　　　　　mov ecx, ebx :0043B893 89B388060000　　　　　　mov dword ptr [ebx+00000688], esi :0043B899 E812130000　　　　　　　call 0043CBB0 :0043B89E 8BCB　　　　　　　　　　mov ecx, ebx :0043B8A0 E87B0A0000　　　　　　　call 0043C320　　　　　　　　　　　　　　　　　 <-- 这个CALL就是上面那段程序的CALL :0043B8A5 85C0　　　　　　　　　　test eax, eax :0043B8A7 751E　　　　　　　　　　jne 0043B8C7 :0043B8A9 56　　　　　　　　　　　push esi * Reference To: KERNEL32.ExitProcess, Ord:007Dh 　　　　　　　　　　　　　　　　　| :0043B8AA FF1514D45100　　　　　　Call dword ptr [0051D414] :0043B8B0 EB15　　　　　　　　　　jmp 0043B8C7 :0043C318 90　　　　　　　　　　　nop :0043C319 90　　　　　　　　　　　nop :0043C31A 90　　　　　　　　　　　nop :0043C31B 90　　　　　　　　　　　nop :0043C31C 90　　　　　　　　　　　nop :0043C31D 90　　　　　　　　　　　nop :0043C31E 90　　　　　　　　　　　nop :0043C31F 90　　　　　　　　　　　nop * Referenced by a CALL at Address: |:0043B8A0　 | * Possible Reference to String Resource ID=00255: "No entry for the current site found. Do you wish to create o"　<-- 这里是上面那段程序的开头　　　　　　　　　　　　　　　　 | :0043C320 6AFF　　　　　　　　　　push FFFFFFFF :0043C322 689BD15000　　　　　　　push 0050D19B :0043C327 64A100000000　　　　　　mov eax, dword ptr fs:[00000000] :0043C32D 50　　　　　　　　　　　push eax :0043C32E 64892500000000　　　　　mov dword ptr fs:[00000000], esp :0043C335 81EC44010000　　　　　　sub esp, 00000144 :0043C33B 53　　　　　　　　　　　push ebx :0043C33C 55　　　　　　　　　　　push ebp :0043C33D 56　　　　　　　　　　　push esi :0043C33E 8BE9　　　　　　　　　　mov ebp, ecx :0043C340 57　　　　　　　　　　　push edi 。。。

26. 从上面的分析中我们可以得知0043B873处的jne　0043B8B2指令可以“预测”应该可以跳过注册框，所以我们修改那里的指令：

。。。 :0043B86C E8FF4F0500　　　　　　　call 00490870 :0043B871 85C0　　　　　　　　　　test eax, eax :0043B873 753D　　　　　　　　　　jne 0043B8B2 将这段程序改成下面的样子： :0043B86C E8FF4F0500　　　　　　　call 00490870 :0043B871 85C0　　　　　　　　　　test eax, eax :0043B873 EB3D　　　　　　　　　　jmp 0043B8B2 。。。

27. 修改方法：首先备份一下你的CuteFTP，保持手里有一份原始的可执行文件以防不测，运行HIEW，按F4选择“Decode”切换到汇编模式，然后按F7输入被修改程序的代码：E8 FF 4F 05 00 85 C0 75 3D，找到程序后按F3进入编辑状态，将“75”改成“EB”，按F9存盘，然后退出HIEW，也许你会问为什么只改一个字节却要输入那么长一段代码进行查找？-- 原因嘛只有一个：保证我们能一次找到需要修改的代码，假如输入的信息少，结果很可能会有很多相同代码的地方，假如不注意，结果只会将程序“改死”！

28. 重新启动CuteFTP，哈哈。。。，注册框不见了，不过马上你会发现还没笑完CuteFTP就弹出一个错误框，告诉你校验错误，这说明CuteFTP有代码自校验功能，没关系，既然已经破了半，没有理由退步；

29. 不要关闭CuteFTP的错误框，下断点：bpx lockmytask，点击错误框的“确定”按钮，程序马上被softice拦截到，用 BD * 暂停断点，然后按F12大约27次之后我们又返回到CuteFTP的领空：

。。。 0167:004E844E　CALL　　　[USER32!MessageBoxA]　　　　　　　　<-- 弹出错误框的API函数 0167:004E8454　TEST　　　ESI,ESI　　　　　　　　　　　　　　 <-- 我们来到这里 0167:004E8456　MOV　　　 EDI,EAX 0167:004E8458　JZ　　　　004E845F 0167:004E845A　MOV　　　 EAX,[EBP-08] 0167:004E845D　MOV　　　 [ESI],EAX 0167:004E845F　CMP　　　 DWORD PTR [EBP-04],00 0167:004E8463　JZ　　　　004E8470 0167:004E8465　PUSH　　　01 0167:004E8467　PUSH　　　DWORD PTR [EBP-04] 0167:004E846A　CALL　　　[USER32!EnableWindow] 0167:004E8470　MOV　　　 ECX,[EBP-10] 0167:004E8473　PUSH　　　01 0167:004E8475　CALL　　　004E836E 0167:004E847A　MOV　　　 EAX,EDI 0167:004E847C　POP　　　 EDI 0167:004E847D　POP　　　 ESI 0167:004E847E　POP　　　 EBX 0167:004E847F　LEAVE 0167:004E8480　RET　　　 000C 。。。

30. 返回到程序的领空后，我们发现前面一句就是弹出错误框的API函数，因为到这里的时候错误已经产生，所以我们必须按F12走出这里找到调用这个地方的程序段（按两次F12）：

。。。 0167:0043BC55　6A00　　　　　　　　PUSH　　　00 0167:0043BC57　6A00　　　　　　　　PUSH　　　00 0167:0043BC59　8B481C　　　　　　　MOV　　　 ECX,[EAX+1C] 0167:0043BC5C　51　　　　　　　　　PUSH　　　ECX 0167:0043BC5D　FF1544D65100　　　　CALL　　　[USER32!RedrawWindow] 0167:0043BC63　C7835006000001000000MOV　　　 DWORD PTR [EBX+00000650],00000001 0167:0043BC6D　E81E510500　　　　　CALL　　　00490D90 0167:0043BC72　85C0　　　　　　　　TEST　　　EAX,EAX 0167:0043BC74　756F　　　　　　　　JNZ　　　 0043BCE5　　　　　　　　　　<-- 这里可以跳过上面的错误框 0167:0043BC76　8D55EC　　　　　　　LEA　　　 EDX,[EBP-14] 0167:0043BC79　68AA010000　　　　　PUSH　　　000001AA 0167:0043BC7E　52　　　　　　　　　PUSH　　　EDX 0167:0043BC7F　E8CC97FEFF　　　　　CALL　　　00425450 0167:0043BC84　83C408　　　　　　　ADD　　　 ESP,08 0167:0043BC87　8B00　　　　　　　　MOV　　　 EAX,[EAX] 0167:0043BC89　6A00　　　　　　　　PUSH　　　00 0167:0043BC8B　6A10　　　　　　　　PUSH　　　10 0167:0043BC8D　50　　　　　　　　　PUSH　　　EAX 0167:0043BC8E　C645FC2A　　　　　　MOV　　　 BYTE PTR [EBP-04],2A 0167:0043BC92　E8ECC70A00　　　　　CALL　　　004E8483 0167:0043BC97　8D4DEC　　　　　　　LEA　　　 ECX,[EBP-14]　　　　　　　　<-- 我们返回后停在这里　　 0167:0043BC9A　C645FC29　　　　　　MOV　　　 BYTE PTR [EBP-04],29 0167:0043BC9E　E84D090A00　　　　　CALL　　　004DC5F0 0167:0043BCA3　8D4DDC　　　　　　　LEA　　　 ECX,[EBP-24] 0167:0043BCA6　C645FC1B　　　　　　MOV　　　 BYTE PTR [EBP-04],1B 0167:0043BCAA　E841090A00　　　　　CALL　　　004DC5F0 0167:0043BCAF　8D4DD4　　　　　　　LEA　　　 ECX,[EBP-2C] 0167:0043BCB2　C645FC05　　　　　　MOV　　　 BYTE PTR [EBP-04],05 0167:0043BCB6　E835090A00　　　　　CALL　　　004DC5F0 0167:0043BCBB　8D4DE0　　　　　　　LEA　　　 ECX,[EBP-20] 0167:0043BCBE　C645FC04　　　　　　MOV　　　 BYTE PTR [EBP-04],04 0167:0043BCC2　E829090A00　　　　　CALL　　　004DC5F0 0167:0043BCC7　8D4DE8　　　　　　　LEA　　　 ECX,[EBP-18] 0167:0043BCCA　897DFC　　　　　　　MOV　　　 [EBP-04],EDI 0167:0043BCCD　E81E090A00　　　　　CALL　　　004DC5F0 0167:0043BCD2　33C0　　　　　　　　XOR　　　 EAX,EAX 0167:0043BCD4　8B4DF4　　　　　　　MOV　　　 ECX,[EBP-0C] 0167:0043BCD7　64890D00000000　　　MOV　　　 FS:[00000000],ECX 0167:0043BCDE　5F　　　　　　　　　POP　　　 EDI 0167:0043BCDF　5E　　　　　　　　　POP　　　 ESI 0167:0043BCE0　5B　　　　　　　　　POP　　　 EBX 0167:0043BCE1　8BE5　　　　　　　　MOV　　　 ESP,EBP 0167:0043BCE3　5D　　　　　　　　　POP　　　 EBP 0167:0043BCE4　C3　　　　　　　　　RET 。。。

31. 返回到上面的程序段之后我们可以发现0167:0043BC74处的JNZ　0043BCE5可以跳过上面的错误框，照猫画虎修改程序：

。。。 0167:0043BC6D　E81E510500　　　　　CALL　　　00490D90 0167:0043BC72　85C0　　　　　　　　TEST　　　EAX,EAX 0167:0043BC74　756F　　　　　　　　JNZ　　　 0043BCE5 上面的程序改成： 0167:0043BC6D　E81E510500　　　　　CALL　　　00490D90 0167:0043BC72　85C0　　　　　　　　TEST　　　EAX,EAX 0167:0043BC74　EB6F　　　　　　　　JNZ　　　 0043BCE5 。。。

32. 修补好CuteFTP后运行之，这下看到了什么？-- 哈哈，成功了，什么错误也没有了，不过如果你是个比较“完美主义”的人的话，你会发现在“Help”菜单下的“About CuteFTP”里仍然显示未注册的标志： Licensed to: UNREGISTERED，虽然程序已经没有“任何”限制，但是这个地方确实也不太美观，让我们继续来修理它：

33. 启动eXeScope(在“破解工具”的“编辑工具”里下载)，打开CuteFTP进行资源编辑：在“Resource\Dialog\100”里我们能发现它就是刚才那个“About CuteFTP”对话框的资源，点击“Static: UNREGISTERED”，将“UNREGISTERED”改成自己的名字（比如我的“ddcrack”^_^!），存盘退出；

34. 再次启动CuteFTP，进去后赶紧进入“About CuteFTP”，哈哈，你会看到已经显示出“Licensed to: ddcrack”的信息，搞定了！

35. 真的一切都OK了吗？-- 其实没有，还存在BUG：假如你使用CuteFTP上传文件，当登陆进远程服务器以后，假如此时你点击两下CuteFTP的“最大化/最小化”按钮，结果会发现“远程窗口”并不能随着你的鼠标一块儿最大化、最小化，最大化以后本地窗口确实最大化了，可是远程窗口只有原来最小化那么一点地方，明显有问题，什么问题呢？-- 肯定是上个步骤修改校验部分程序代码时有些不妥，0167:0043BC6D处的CALL　00490D90没有那么简单，让我们重新开始跟踪，进入这个CALL里去看个究竟：

。。。 0167:00490D90　6AFF　　　　　　　　PUSH　　　FF 0167:00490D92　6831505100　　　　　PUSH　　　00515031 0167:00490D97　64A100000000　　　　MOV　　　 EAX,FS:[00000000] 0167:00490D9D　50　　　　　　　　　PUSH　　　EAX 0167:00490D9E　64892500000000　　　MOV　　　 FS:[00000000],ESP 0167:00490DA5　81EC24010000　　　　SUB　　　 ESP,00000124 0167:00490DAB　8D4C2408　　　　　　LEA　　　 ECX,[ESP+08] 0167:00490DAF　E863CA0400　　　　　CALL　　　004DD817 0167:00490DB4　8D442420　　　　　　LEA　　　 EAX,[ESP+20] 0167:00490DB8　6804010000　　　　　PUSH　　　00000104 0167:00490DBD　50　　　　　　　　　PUSH　　　EAX 0167:00490DBE　6A00　　　　　　　　PUSH　　　00 0167:00490DC0　C7842438010000000000MOV　　　 DWORD PTR [ESP+00000138],00000000 0167:00490DCB　FF1540D45100　　　　CALL　　　[KERNEL32!GetModuleFileNameA] 0167:00490DD1　6A00　　　　　　　　PUSH　　　00 0167:00490DD3　8D4C2424　　　　　　LEA　　　 ECX,[ESP+24] 0167:00490DD7　6A40　　　　　　　　PUSH　　　40 0167:00490DD9　51　　　　　　　　　PUSH　　　ECX 0167:00490DDA　8D4C2414　　　　　　LEA　　　 ECX,[ESP+14] 0167:00490DDE　E8E6CB0400　　　　　CALL　　　004DD9C9 0167:00490DE3　85C0　　　　　　　　TEST　　　EAX,EAX 0167:00490DE5　0F858E000000　　　　JNZ　　　 00490E79 0167:00490DEB　8D542400　　　　　　LEA　　　 EDX,[ESP+00] 0167:00490DEF　6825E80000　　　　　PUSH　　　0000E825 0167:00490DF4　52　　　　　　　　　PUSH　　　EDX 0167:00490DF5　E85646F9FF　　　　　CALL　　　00425450 0167:00490DFA　83C408　　　　　　　ADD　　　 ESP,08 0167:00490DFD　8D4C2420　　　　　　LEA　　　 ECX,[ESP+20] 0167:00490E01　8D542404　　　　　　LEA　　　 EDX,[ESP+04] 0167:00490E05　51　　　　　　　　　PUSH　　　ECX 0167:00490E06　50　　　　　　　　　PUSH　　　EAX 0167:00490E07　52　　　　　　　　　PUSH　　　EDX 0167:00490E08　C684243801000001　　MOV　　　 BYTE PTR [ESP+00000138],01 0167:00490E10　E870BA0400　　　　　CALL　　　004DC885 0167:00490E15　8B00　　　　　　　　MOV　　　 EAX,[EAX] 0167:00490E17　6A00　　　　　　　　PUSH　　　00 0167:00490E19　6A00　　　　　　　　PUSH　　　00 0167:00490E1B　50　　　　　　　　　PUSH　　　EAX 0167:00490E1C　C684243801000002　　MOV　　　 BYTE PTR [ESP+00000138],02 0167:00490E24　E85A760500　　　　　CALL　　　004E8483 0167:00490E29　8D4C2404　　　　　　LEA　　　 ECX,[ESP+04] 0167:00490E2D　C684242C01000001　　MOV　　　 BYTE PTR [ESP+0000012C],01 0167:00490E35　E8B6B70400　　　　　CALL　　　004DC5F0 0167:00490E3A　8D4C2400　　　　　　LEA　　　 ECX,[ESP+00] 0167:00490E3E　C684242C01000000　　MOV　　　 BYTE PTR [ESP+0000012C],00 0167:00490E46　E8A5B70400　　　　　CALL　　　004DC5F0 0167:00490E4B　8D4C2408　　　　　　LEA　　　 ECX,[ESP+08] 0167:00490E4F　C784242C010000FFFFFFMOV　　　 DWORD PTR [ESP+0000012C],FFFFFFFF 0167:00490E5A　E8ADCA0400　　　　　CALL　　　004DD90C 0167:00490E5F　B801000000　　　　　MOV　　　 EAX,00000001 0167:00490E64　8B8C2424010000　　　MOV　　　 ECX,[ESP+00000124] 0167:00490E6B　64890D00000000　　　MOV　　　 FS:[00000000],ECX 0167:00490E72　81C430010000　　　　ADD　　　 ESP,00000130 0167:00490E78　C3　　　　　　　　　RET 0167:00490E79　8D442418　　　　　　LEA　　　 EAX,[ESP+18] 0167:00490E7D　8D4C2408　　　　　　LEA　　　 ECX,[ESP+08] 0167:00490E81　50　　　　　　　　　PUSH　　　EAX 0167:00490E82　51　　　　　　　　　PUSH　　　ECX 0167:00490E83　E858FEFFFF　　　　　CALL　　　00490CE0 0167:00490E88　83C408　　　　　　　ADD　　　 ESP,08 0167:00490E8B　8D4C2408　　　　　　LEA　　　 ECX,[ESP+08] 0167:00490E8F　E850CD0400　　　　　CALL　　　004DDBE4 0167:00490E94　33C0　　　　　　　　XOR　　　 EAX,EAX 0167:00490E96　8A4C0418　　　　　　MOV　　　 CL,[EAX+ESP+18] 0167:00490E9A　84C9　　　　　　　　TEST　　　CL,CL 0167:00490E9C　7508　　　　　　　　JNZ　　　 00490EA6　　　　　　　　　　　　　<-- 这里跳到00490EA6去将EAX清0就完蛋了！ 0167:00490E9E　40　　　　　　　　　INC　　　 EAX 0167:00490E9F　83F808　　　　　　　CMP　　　 EAX,08 0167:00490EA2　7CF2　　　　　　　　JL　　　　00490E96 0167:00490EA4　EBA5　　　　　　　　JMP　　　 00490E4B　　　　　　　　　　　　　<-- 这里跳到00490E4B去将EAX置1就OK了！ 0167:00490EA6　8D4C2408　　　　　　LEA　　　 ECX,[ESP+08] 0167:00490EAA　C784242C010000FFFFFFMOV　　　 DWORD PTR [ESP+0000012C],FFFFFFFF 0167:00490EB5　E852CA0400　　　　　CALL　　　004DD90C 0167:00490EBA　8B8C2424010000　　　MOV　　　 ECX,[ESP+00000124] 0167:00490EC1　33C0　　　　　　　　XOR　　　 EAX,EAX 0167:00490EC3　64890D00000000　　　MOV　　　 FS:[00000000],ECX 0167:00490ECA　81C430010000　　　　ADD　　　 ESP,00000130 0167:00490ED0　C3　　　　　　　　　RET 。。。

36. 通常程序的结果都是在最后出来的，我们既不研究算法，又不研究注册码，所以可以快步往后走，可以发现从0167:00490E96开始的地方会直接决定程序的返回值EAX的大小，前面已经知道返回值EAX等于0的话就表示校验失败，所以我们必须修改这里使EAX始终返回1，这样就不会出现校验错误了；

37. 还是一样使用HIEW进行修改，方法如下：

。。。 0167:00490E96　8A4C0418　　　　　　MOV　　　 CL,[EAX+ESP+18] 0167:00490E9A　84C9　　　　　　　　TEST　　　CL,CL 0167:00490E9C　7508　　　　　　　　JNZ　　　 00490EA6　　　　　　　　　　　　 0167:00490E9E　40　　　　　　　　　INC　　　 EAX 0167:00490E9F　83F808　　　　　　　CMP　　　 EAX,08 0167:00490EA2　7CF2　　　　　　　　JL　　　　00490E96 0167:00490EA4　EBA5　　　　　　　　JMP　　　 00490E4B　将上面的程序段改成： 0167:00490E96　8A4C0418　　　　　　MOV　　　 CL,[EAX+ESP+18] 0167:00490E9A　84C9　　　　　　　　TEST　　　CL,CL 0167:00490E9C　90　　　　　　　　　NOP 0167:00490E9D　90　　　　　　　　　NOP　　　　　　　　　　　　 0167:00490E9E　40　　　　　　　　　INC　　　 EAX 0167:00490E9F　83F808　　　　　　　CMP　　　 EAX,08 0167:00490EA2　90　　　　　　　　　NOP 0167:00490EA3　90　　　　　　　　　NOP 0167:00490EA4　EBA5　　　　　　　　JMP　　　 00490E4B　。。。

38. 完成上面的修改，然后马上试用CuteFTP，怎么样？这下是不是没有什么毛病了呢？-- 由此我们也可以看出，暴力破解是存在“危险性”的，因为我们常常不知道暴破之后程序是否真正能稳定可靠的运行，俗话说“实践是检验真理的唯一标准”，只有不断去验证、使用，才能证明我们暴破的力度和深度，是否是“完全暴破”，切忌马虎大意，只是看了几眼便认为自己做得很漂亮的思想是靠不住的，废话有点多，希望大家不要介意^_^!

文章评论

查看所有0条评论>>

热门文章 去除winrar注册框方法