某吾爱的ReverseMe追码分析 ——内存写入法 by cqr2287

KaQqi

软件地址：http://www.52pojie.cn/thread-550618-1-1.html、
文章作者：cqr2287/cqr2003



一个追码的cm。
查壳，vmp。

对于这种cm，最好的方法是内存写入法。
输入账号 52pojie，密码cqr2287.
登录弹错，内存搜索52pojie以及cqr2287.
在附近找到错误提示的立即数。

[Asm] 纯文本查看 复制代码

01334DEC  57 61 72 69 6E 67 00 00 75 73 65 72 20 6E 61 6D  Waring..user nam
01334DFC  65 20 6F 72 20 70 61 73 73 77 6F 72 64 20 65 72  e or password er
01334E0C  72 6F 72 21                                      ror!

在错误提示下内存访问断点。
f9运行，账号52pojie密码cqr2287.
断下f8跟到程序领空。

[Asm] 纯文本查看 复制代码

013321AB    53              push ebx
013321AC    8D4424 30       lea eax,dword ptr ss:[esp+0x30]
013321B0    68 1C4E3301     push login.01334E1C                      ; 52pojie.cn
013321B5    50              push eax
013321B6    895C24 24       mov dword ptr ss:[esp+0x24],ebx
013321BA    E8 71F6FFFF     call login.01331830
013321BF    83C4 0C         add esp,0xC
013321C2    8BF8            mov edi,eax
013321C4    8B56 14         mov edx,dword ptr ds:[esi+0x14]
013321C7    57              push edi
013321C8    E8 8A460100     call login.01346857
013321CD    8D4C24 28       lea ecx,dword ptr ss:[esp+0x28]
013321D1    895C24 40       mov dword ptr ss:[esp+0x40],ebx
013321D5    51              push ecx
013321D6    8B4A 08         mov ecx,dword ptr ds:[edx+0x8]
013321D9    BB 01000000     mov ebx,0x1
013321DE    895C24 1C       mov dword ptr ss:[esp+0x1C],ebx
013321E2    FFD5            call ebp
013321E4    8D4C24 24       lea ecx,dword ptr ss:[esp+0x24]
013321E8    51              push ecx
013321E9    8BC8            mov ecx,eax
013321EB    895C24 44       mov dword ptr ss:[esp+0x44],ebx
013321EF    C74424 1C 03000>mov dword ptr ss:[esp+0x1C],0x3
013321F7    E8 33940100     call login.0134B62F
013321FC    4F              dec edi
013321FD    57              push edi
013321FE    5F              pop edi                                  ; ntdll.77476A28
013321FF    E8 A6440100     call login.013466AA
01332204    BB 07000000     mov ebx,0x7
01332209    8BC8            mov ecx,eax
0133220B    C74424 44 02000>mov dword ptr ss:[esp+0x44],0x2
01332213    895C24 1C       mov dword ptr ss:[esp+0x1C],ebx
01332217    FFD7            call edi
01332219    84C0            test al,al
0133221B    74 58           je short login.01332275
0133221D    6A 00           push 0x0
0133221F    8D5424 24       lea edx,dword ptr ss:[esp+0x24]
01332223    68 144E3301     push login.01334E14                      ; 123456
01332228    52              push edx
01332229    E8 02F6FFFF     call login.01331830

回溯找到正确注册码。
账号52pojie，密码123456.


@liyisker
vmp是没什么用的。以后想加密可以来个声东击西
弄两个错误提示，然后我们内存搜索就找不到哪个是真正的了。

seaneo

好文学习

我是邹军泽

亲啊 你确定在账号密码 那输入假码内存中能搜到吗？ 可能你假码账号正好是52pojie的原因啊。

123-木头人

学习一下

fengh

继续学习，努力

hhhochai

谢谢分享~~~