大哈爆破续传上卷
本帖最后由 冥界3大法王 于 2021-1-29 17:33 编辑首先是前情回顾:我们上次在 大哈:简易爆破攻略 中说道,我们使用了一种毫无费脑细胞的爆破方法,通过修改该软件关键的DLL文件中时间函数来达到无限试用的目的。
本卷中,我们将使用“穷追猛打式”,来让软件返回全局注册标志,达到仿注册版99%的效果。另,大哈爆破续传下卷中,将尝试挑战作“脏器移植手术” (换码)
这个程序,我们必须使用x64dbg来进行调试,因此,我们要先分析一下敌我兵情对比,敌我双方战力储备,后勤补给等方面的资料对比来。
敌方: 可以加壳
我方:可以脱壳
敌方: 反调试
我方:附加进程,反反调试
敌方:中断进程、挂起进程、调用其他服务进程
我方:恢复线程,利用插件挂载子进程
敌方:加密字符串,另我方头大找不到线索
我方:可以跨模块搜索,模块API调用列表、全局变量或常量搜索、对比临近版本得到特征码、搜索关键的汇编指令、模糊搜索汇编指令
敌方:制造兰屏事件
我方:可以利用相关软件找其事件
敌方:界面中暗藏两组标签,未注册时显示一组,注册时显示另一组
我方:利用硬件断点定位,资源修改工具查看,16进制编辑器里查看
敌方: 网络发包,网络登录
我方: 网络抓包,解密抓取部分数据
敌方: 制造暗桩,令程序崩溃或报错
我方: 劫持注入修改等方式解决一部分
敌方: 对关键的代码进行伪装加密,分散保存
我方: 满足条件断点自动化跟踪、对比每次走势、复合条件断点、跑脚本、自制程序来针对
敌方: 马上升级修补代码
我方: 禁用升级,修改hosts,通杀补丁(这个飘云表哥们常用手法之一,孜孜不倦,乐此不疲。 )
接下来,我们回到这个程序中,我们要说的是,通常我们去追踪一个注册码,我们势必要穷追猛打跟踪一下这个程序关于注册码部分的内容,然后在关键的时刻返回给程序一个“合法的”注册标志或状态。
在x32dbg/x64dbg中需要掌握的知识点有,条件断点,步进步过直到满足条件。。。;追踪记录,类似的还有插件和相关的命令。然后其他就是结合普通断点,硬件断点和内存断点了。另外IDA的导出
地图也能为我们起到标明航线起到启明灯的效果。另外一个好的打入注释的方法,也是需要自己了解和整理运用下的,比如说我吧,我习惯先这到一个地方作为切入点,然后
标注为【起点、或进入点1】,当你遇到分叉路口时,可以记作【A1_XXX_序号_你的其他注释】。比如【A1_调用注册表中的注册码】。。。那面下次找到它的上一级时【A1_1_注册码之上一级分支】。。
以此类推。。。。当找到其他的相关时【B_。。。】以此类推,这个完全按个人习惯来了,当然养成一个好的汇编逆向注释习惯是有更大的好处的。
然后【标签】也是类似吧,这个完全可以自己来发挥了。这个笔记记好了,时间久了,你完全可以不用上机调试,来看看关键的自己的一些可以借鉴的破解思路来,因为前面我们的标号走线图已经很
给力和完美的诠释这一点啦~~
接下来理论部分,我们说完了,就开始实战动手,考核实际运用的能力了。
我们上回书说到,regkey.xml是该软件关于注册的一个钥匙文件,下面我们就要来跟踪一下它了。后面的故事也是在围绕它展开。
其实对一个软件来着,安装前,安装后,第一次使用,过期时使用,不少共享软件皆有外在、内在的细微变化。能否捕获到对其进行分析是十分重要的。
有很多人不明白这一点,因此贻误了很多战机。再有一点也很关键,其实不同的阶段下皆有技巧和大海捞金方法可言。还有一点,对这个程序的架构,编程语言的理解程度是我们取胜的关键。
你都不明白这个楼大致是怎么盖的,也是无从找到着力点的原因之一。
我们先用TC搜索下,有计划,才有目标,有了目标才有了下一步的针对的策略。到吾爱破解论坛求助也是一样的道理,资料都不全,一问八不知,还想有结果?
那么下一步我们启动x64dbg时,心里就会比较有数了吧? 一个程序配置相关的dll,两个资源管理器中扩展类的dll,重点搞哪个文件,明白了吧?
那就x64dbg加载主程序吧,然后Alt+E定位过去,再搜索下这个configlib.dll
很轻松的找到了2处,都下好断点
第1处断在这里:
00007FFDEE1A161D | 48:8D15 94170F00 | lea rdx,qword ptr ds: | rdx:"xN)铨\x7F", 00007FFDEE292DB8:L"regkey.xml" ;A1我们从这里开始!
第2次还是这里。。。
当按几次Ctrl+F9 ,我们就脱离了上面的那个dll文件回到了主程序领空。
然后Ctrl+F8不久就会来到这里
00007FF6233B1B0D | E8 2E7AFFFF | call <sub_7FF6233A9540>
00007FF623436087 | E8 B434F7FF | call <sub_7FF6233A9540>| 我的子程序就相当关键了!!!!!!!!
00007FF62343608C | 8B4424 64 | mov eax,dword ptr ss: |
00007FF623436090 | 0FB6C8 | movzx ecx,al |
00007FF623436093 | 80E1 01 | and cl,1 |
00007FF623436096 | 75 45 | jne 7FF6234360DD | jmpZ==》普通版且过了注册
00007FF623436098 | A8 02 | test al,2 | al 和 2 进行比较
00007FF62343609A | 75 41 | jne 7FF6234360DD | jmp Z==》普通版且过了注册
00007FF62343609C | A8 04 | test al,4 | al 和 4 进行比较
00007FF62343609E | 75 3D | jne 7FF6234360DD | jmp Z==》普通版且过了注册
00007FF6234360A0 | 40:0FB6D7 | movzx edx,dil |
00007FF6234360A4 | 83F2 01 | xor edx,1 |
00007FF6234360A7 | 8D1455 0100 | lea edx,qword ptr ds: |
00007FF6234360AE | 48:8BCB | mov rcx,rbx |
00007FF6234360B1 | E8 4AB2F7FF | call <sub_7FF6233B1300>| F7进入分析下作用
00007FF6234360B6 | 41:B1 01 | mov r9b,1 |
00007FF6234360B9 | 4D:8BC4 | mov r8,r12 |
00007FF6234360BC | 48:8BD3 | mov rdx,rbx |
00007FF6234360BF | 48:8D4D B0| lea rcx,qword ptr ss: |
00007FF6234360C3 | E8 78BCF7FF | call <sub_7FF6233B1D40>|
00007FF6234360C8 | 90 | nop |
00007FF6234360C9 | 48:8D4D B0| lea rcx,qword ptr ss: |
00007FF6234360CD | FF15 B52C23 | call qword ptr ds:[<&Ordinal#3951>] 注册框(NOP后还是无实质作用)
00007FF6234360D3 | 90 | nop |
00007FF6234360D4 | 48:8D4D B0| lea rcx,qword ptr ss: |
00007FF6234360D8 | E8 63BEF7FF | call <sub_7FF6233B1F40>|
00007FF6234360DD | 45:33E4 | xor r12d,r12d | 这是普通版(Z)
。。。
后面的代码可以看到有些代码能跳过注册,这意味着。。。
{:301_1006:}各位亲们,注意看上面的几句的微妙关系吧~~
test al,2
test al,4
al分别和2 和 4 进行,对比。。。
下面是注册框
上面有三个jne 不等则跳到 注册框
00007FF623436087 这个call就相当的重要了 ▲▲▲
那么至少,在这个地方,我们猜测al 可能 = 2 或 =4也有可能为经典的注册状态1
那么我们进入这个call返回al的返回值=2 =4
并且、然后观看屏幕上补丁给我们上演的结局吧~~
先看看al=4,我们的下场~~{:301_972:}
al=1 或 2时 {:301_997:},各位亲们注意了,注意看字的细节
就在那个语句的下面不远处,我们进行修改al=2,注意观察程序的走向和前后附近影响到的地方
这是你修改的基本准则,即要程序正常运行,也要符合前后逻辑,堆栈平衡。
{:301_987:}
但是底部有个试用许可证,是不是看着很不和谐? 再努力下,通过分析,我们定位到下面的代码处。
你可以通过内存搜索,硬件断点等方式,只要保证1点,我点关于时被马上断下。
00007FF6233AB080 | 48:8BC4 | mov rax,rsp |
00007FF6233AB083 | 48:8958 10 | mov qword ptr ds:,rbx |
00007FF6233AB087 | 48:8970 18 | mov qword ptr ds:,rsi |
00007FF6233AB08B | 48:8978 20 | mov qword ptr ds:,rdi |
00007FF6233AB08F | 55 | push rbp |
00007FF6233AB090 | 41:54 | push r12 |
00007FF6233AB092 | 41:55 | push r13 |
00007FF6233AB094 | 41:56 | push r14 |
00007FF6233AB096 | 41:57 | push r15 |
00007FF6233AB098 | 48:8DA8 C8FDFFFF | lea rbp,qword ptr ds: |
00007FF6233AB09F | 48:81EC 10030000 | sub rsp,310 |
00007FF6233AB0A6 | 0F2970 C8 | movaps xmmword ptr ds:,xmm6 |
00007FF6233AB0AA | 0F2978 B8 | movaps xmmword ptr ds:,xmm7 |
00007FF6233AB0AE | 44:0F2940 A8 | movaps xmmword ptr ds:,xmm8 |
00007FF6233AB0B3 | 44:0F2948 98 | movaps xmmword ptr ds:,xmm9 |
00007FF6233AB0B8 | 48:8B05 616F4100 | mov rax,qword ptr ds: | 00007FF6237C2020:L"曇鸽ᴆ"
00007FF6233AB0BF | 48:33C4 | xor rax,rsp |
00007FF6233AB0C2 | 48:8985 C0010000 | mov qword ptr ss:,rax |
00007FF6233AB0C9 | 48:8BD9 | mov rbx,rcx |
00007FF6233AB0CC | 48:894D A8 | mov qword ptr ss:,rcx |
00007FF6233AB0D0 | 33C0 | xor eax,eax |
00007FF6233AB0D2 | 8945 88 | mov dword ptr ss:,eax |
00007FF6233AB0D5 | 48:8985 88000000 | mov qword ptr ss:,rax |
00007FF6233AB0DC | 48:8985 90000000 | mov qword ptr ss:,rax |
00007FF6233AB0E3 | 48:8985 88000000 | mov qword ptr ss:,rax |
00007FF6233AB0EA | 48:C785 90000000 0700000 | mov qword ptr ss:,7 |
00007FF6233AB0F5 | 66:8945 78 | mov word ptr ss:,ax |
00007FF6233AB0F9 | 48:8945 68 | mov qword ptr ss:,rax |
00007FF6233AB0FD | 48:8945 70 | mov qword ptr ss:,rax |
00007FF6233AB101 | 48:8945 68 | mov qword ptr ss:,rax |
00007FF6233AB105 | 48:C745 70 07000000 | mov qword ptr ss:,7 |
00007FF6233AB10D | 66:8945 58 | mov word ptr ss:,ax |
00007FF6233AB111 | 48:8945 48 | mov qword ptr ss:,rax |
00007FF6233AB115 | 48:8945 50 | mov qword ptr ss:,rax |
00007FF6233AB119 | 48:8945 48 | mov qword ptr ss:,rax |
00007FF6233AB11D | 48:C745 50 07000000 | mov qword ptr ss:,7 |
00007FF6233AB125 | 66:8945 38 | mov word ptr ss:,ax |
00007FF6233AB129 | 48:8945 28 | mov qword ptr ss:,rax |
00007FF6233AB12D | 48:8945 30 | mov qword ptr ss:,rax |
00007FF6233AB131 | 48:8945 28 | mov qword ptr ss:,rax |
00007FF6233AB135 | 48:C745 30 07000000 | mov qword ptr ss:,7 |
00007FF6233AB13D | 66:8945 18 | mov word ptr ss:,ax |
00007FF6233AB141 | F244:0F1005 C6D43100 | movsd xmm8,qword ptr ds:[7FF6236C8610 |
00007FF6233AB14A | F244:0F1145 98 | movsd qword ptr ss:,xmm8 |
00007FF6233AB150 | 894424 68 | mov dword ptr ss:,eax |
00007FF6233AB154 | 884424 51 | mov byte ptr ss:,al |
00007FF6233AB158 | 894424 78 | mov dword ptr ss:,eax |
00007FF6233AB15C | 48:8D45 F8 | lea rax,qword ptr ss: |
00007FF6233AB160 | 48:8945 90 | mov qword ptr ss:,rax |
00007FF6233AB164 | 48:8D55 F8 | lea rdx,qword ptr ss: |
00007FF6233AB168 | 48:8D0D 29E54200 | lea rcx,qword ptr ds: |
00007FF6233AB16F | 48:8B05 22E54200 | mov rax,qword ptr ds: |
00007FF6233AB176 | FF50 20 | call qword ptr ds: |
00007FF6233AB179 | 90 | nop |
00007FF6233AB17A | 45:33C0 | xor r8d,r8d |
00007FF6233AB17D | 48:8BD0 | mov rdx,rax |
00007FF6233AB180 | 48:8D8D A0000000 | lea rcx,qword ptr ss: |
00007FF6233AB187 | E8 5487FFFF | call <sub_7FF6233A38E0 |
00007FF6233AB18C | 90 | nop |
00007FF6233AB18D | 48:8D5424 60 | lea rdx,qword ptr ss: |
00007FF6233AB192 | 48:8B8B 50150000 | mov rcx,qword ptr ds: | rbx+1550:L"煀?ȏ"
00007FF6233AB199 | E8 A2E3FFFF | call <sub_7FF6233A9540 |
00007FF6233AB19E | 8B4424 60 | mov eax,dword ptr ss: |
00007FF6233AB1A2 | 0FB6C8 | movzx ecx,al |
00007FF6233AB1A5 | BE 02000000 | mov esi,2 |
00007FF6233AB1AA | 41:BC 01000000 | mov r12d,1 |
00007FF6233AB1B0 | 41:22CC | and cl,r12b |
00007FF6233AB1B3 | 74 05 | je 7FF6233AB1BA |
00007FF6233AB1B5 | 41:8BD4 | mov edx,r12d |
00007FF6233AB1B8 | EB 12 | jmp 7FF6233AB1CC |
00007FF6233AB1BA | 40:84C6 | test sil,al |
00007FF6233AB1BD | 74 04 | je 7FF6233AB1C3 |
00007FF6233AB1BF | 8BD6 | mov edx,esi |
00007FF6233AB1C1 | EB 09 | jmp 7FF6233AB1CC |
00007FF6233AB1C3 | 24 04 | and al,4 |
00007FF6233AB1C5 | F6D8 | neg al |
00007FF6233AB1C7 | 1BD2 | sbb edx,edx |
00007FF6233AB1C9 | 83E2 03 | and edx,3 |
00007FF6233AB1CC | 48:8D8D A0000000 | lea rcx,qword ptr ss: |
00007FF6233AB1D3 | E8 B892FFFF | call <sub_7FF6233A4490 |
00007FF6233AB1D8 | 48:8D4424 78 | lea rax,qword ptr ss: |
00007FF6233AB1DD | 48:894424 40 | mov qword ptr ss:,rax |
00007FF6233AB1E2 | 48:8D4424 68 | lea rax,qword ptr ss: |
00007FF6233AB1E7 | 48:894424 38 | mov qword ptr ss:,rax |
00007FF6233AB1EC | 48:8D45 98 | lea rax,qword ptr ss: |
00007FF6233AB1F0 | 48:894424 30 | mov qword ptr ss:,rax |
00007FF6233AB1F5 | 48:8D45 18 | lea rax,qword ptr ss: |
00007FF6233AB1F9 | 48:894424 28 | mov qword ptr ss:,rax |
00007FF6233AB1FE | 48:8D45 38 | lea rax,qword ptr ss: |
00007FF6233AB202 | 48:894424 20 | mov qword ptr ss:,rax |
00007FF6233AB207 | 4C:8D4D 58 | lea r9,qword ptr ss: |
00007FF6233AB20B | 4C:8D45 78 | lea r8,qword ptr ss: |
00007FF6233AB20F | 48:8D5424 51 | lea rdx,qword ptr ss: |
00007FF6233AB214 | 48:8D8D A0000000 | lea rcx,qword ptr ss: |
00007FF6233AB21B | E8 2098FFFF | call <sub_7FF6233A4A40 |
00007FF6233AB220 | 48:8D4C24 58 | lea rcx,qword ptr ss: |
00007FF6233AB225 | FF15 8DD42B00 | call qword ptr ds:[<&Ordinal#296>] |
00007FF6233AB22B | 90 | nop |
00007FF6233AB22C | 48:8D5424 60 | lea rdx,qword ptr ss: |
00007FF6233AB231 | 48:8B8B 50150000 | mov rcx,qword ptr ds: | rbx+1550:L"煀?ȏ"
00007FF6233AB238 | E8 03E3FFFF | call <sub_7FF6233A9540 |
00007FF6233AB23D | 8B4424 60 | mov eax,dword ptr ss: |
00007FF6233AB241 | 0FB6C8 | movzx ecx,al |
00007FF6233AB244 | 80E1 01 | and cl,1 |
00007FF6233AB247 | 74 05 | je 7FF6233AB24E |
00007FF6233AB249 | 41:8BF4 | mov esi,r12d |
00007FF6233AB24C | EB 0D | jmp 7FF6233AB25B |
00007FF6233AB24E | A8 02 | test al,2 |
00007FF6233AB250 | 75 09 | jne 7FF6233AB25B |
00007FF6233AB252 | 24 04 | and al,4 |
00007FF6233AB254 | F6D8 | neg al |
00007FF6233AB256 | 1BF6 | sbb esi,esi |
00007FF6233AB258 | 83E6 03 | and esi,3 |
00007FF6233AB25B | 44:8B7C24 78 | mov r15d,dword ptr ss: |
00007FF6233AB260 | 41:0FB6C7 | movzx eax,r15b |
00007FF6233AB264 | 24 01 | and al,1 |
00007FF6233AB266 | 884424 50 | mov byte ptr ss:,al |
00007FF6233AB26A | 45:8BF7 | mov r14d,r15d |
00007FF6233AB26D | 41:D1EE | shr r14d,1 |
00007FF6233AB270 | 45:8BEF | mov r13d,r15d |
00007FF6233AB273 | 41:C1ED 03 | shr r13d,3 |
00007FF6233AB277 | 41:80E5 01 | and r13b,1 |
00007FF6233AB27B | 41:8BC7 | mov eax,r15d |
00007FF6233AB27E | C1E8 04 | shr eax,4 |
00007FF6233AB281 | 24 01 | and al,1 |
00007FF6233AB283 | 8945 A0 | mov dword ptr ss:,eax |
00007FF6233AB286 | 41:8BC7 | mov eax,r15d |
00007FF6233AB289 | C1E8 06 | shr eax,6 |
00007FF6233AB28C | 24 01 | and al,1 |
00007FF6233AB28E | 8945 A4 | mov dword ptr ss:,eax |
00007FF6233AB291 | 41:8BC7 | mov eax,r15d |
00007FF6233AB294 | C1E8 07 | shr eax,7 |
00007FF6233AB297 | 24 01 | and al,1 |
00007FF6233AB299 | 8945 90 | mov dword ptr ss:,eax |
00007FF6233AB29C | 41:8BFF | mov edi,r15d |
00007FF6233AB29F | C1EF 05 | shr edi,5 |
00007FF6233AB2A2 | 40:80E7 01 | and dil,1 |
00007FF6233AB2A6 | 41:C1EF 09 | shr r15d,9 |
00007FF6233AB2AA | 41:80E7 01 | and r15b,1 |
00007FF6233AB2AE | 41:80E6 01 | and r14b,1 |
00007FF6233AB2B2 | 74 1B | je 7FF6233AB2CF |
00007FF6233AB2B4 | 83FE 03 | cmp esi,3 |
00007FF6233AB2B7 | 74 0A | je 7FF6233AB2C3 |
00007FF6233AB2B9 | 817C24 68 A0860100 | cmp dword ptr ss:,186A0 |
00007FF6233AB2C1 | EB 08 | jmp 7FF6233AB2CB |
00007FF6233AB2C3 | 817C24 68 E8030000 | cmp dword ptr ss:,3E8 |
00007FF6233AB2CB | 41:0F9DC6 | setge r14b |
00007FF6233AB2CF | 48:8D4C24 70 | lea rcx,qword ptr ss: |
00007FF6233AB2D4 | FF15 DED32B00 | call qword ptr ds:[<&Ordinal#296>] |
00007FF6233AB2DA | 90 | nop |
00007FF6233AB2DB | 48:8D4D 80 | lea rcx,qword ptr ss: |
00007FF6233AB2DF | FF15 D3D32B00 | call qword ptr ds:[<&Ordinal#296>] |
00007FF6233AB2E5 | 90 | nop |
00007FF6233AB2E6 | 8BCE | mov ecx,esi |
00007FF6233AB2E8 | 83E9 01 | sub ecx,1 |
00007FF6233AB2EB | 48:8D1D 56782D00 | lea rbx,qword ptr ds: | 00007FF623682B48:L"<no language>"
00007FF6233AB2F2 | 0F84 05010000 | je 7FF6233AB3FD |
00007FF6233AB2F8 | 83E9 01 | sub ecx,1 |
00007FF6233AB2FB | 0F84 B9000000 | je 7FF6233AB3BA |
00007FF6233AB301 | 83F9 01 | cmp ecx,1 |
00007FF6233AB304 | 48:8B0D CDE64200 | mov rcx,qword ptr ds: | 00007FF6237D99D8:L"瞀馌ȏ"
00007FF6233AB30B | 74 43 | je 7FF6233AB350 |
00007FF6233AB30D | 48:85C9 | test rcx,rcx |
00007FF6233AB310 | 74 0D | je 7FF6233AB31F |
00007FF6233AB312 | 48:8B01 | mov rax,qword ptr ds: |
00007FF6233AB315 | BA E7010000 | mov edx,1E7 |
00007FF6233AB31A | FF50 58 | call qword ptr ds: |
00007FF6233AB31D | EB 03 | jmp 7FF6233AB322 |
00007FF6233AB31F | 48:8BC3 | mov rax,rbx |
00007FF6233AB322 | 48:8BD0 | mov rdx,rax |
00007FF6233AB325 | 48:8D4C24 70 | lea rcx,qword ptr ss: |
00007FF6233AB32A | FF15 C8DE2B00 | call qword ptr ds:[<&Ordinal#1495>] |
00007FF6233AB330 | 48:8B0D A1E64200 | mov rcx,qword ptr ds: | 00007FF6237D99D8:L"瞀馌ȏ"
00007FF6233AB337 | 48:85C9 | test rcx,rcx |
00007FF6233AB33A | 0F84 00010000 | je 7FF6233AB440 |
00007FF6233AB340 | 48:8B01 | mov rax,qword ptr ds: |
00007FF6233AB343 | BA E7010000 | mov edx,1E7 |
00007FF6233AB348 | FF50 58 | call qword ptr ds: |
00007FF6233AB34B | E9 F3000000 | jmp 7FF6233AB443 |
00007FF6233AB350 | 48:85C9 | test rcx,rcx |
00007FF6233AB353 | 74 0D | je 7FF6233AB362 |
00007FF6233AB355 | 48:8B01 | mov rax,qword ptr ds: |
00007FF6233AB358 | BA 44030000 | mov edx,344 |
00007FF6233AB35D | FF50 58 | call qword ptr ds: |
00007FF6233AB360 | EB 03 | jmp 7FF6233AB365 |
00007FF6233AB362 | 48:8BC3 | mov rax,rbx |
00007FF6233AB365 | 48:8BD0 | mov rdx,rax |
00007FF6233AB368 | 48:8D4C24 70 | lea rcx,qword ptr ss: |
00007FF6233AB36D | FF15 85DE2B00 | call qword ptr ds:[<&Ordinal#1495>] |
00007FF6233AB373 | 48:8D05 06CA2E00 | lea rax,qword ptr ds: | 00007FF623697D80:L"Supporter"
00007FF6233AB37A | 4C:8D05 17CA2E00 | lea r8,qword ptr ds: | 00007FF623697D98:L"Free - no support"
00007FF6233AB381 | 40:84FF | test dil,dil |
00007FF6233AB384 | 4C:0F45C0 | cmovne r8,rax |
00007FF6233AB388 | 48:8D15 31CA2E00 | lea rdx,qword ptr ds: | 00007FF623697DC0:L" (%s)"
00007FF6233AB38F | 48:8D4C24 70 | lea rcx,qword ptr ss: |
00007FF6233AB394 | FF15 0ED62B00 | call qword ptr ds:[<&Ordinal#2431>] |
00007FF6233AB39A | 48:8B0D 37E64200 | mov rcx,qword ptr ds: | 00007FF6237D99D8:L"瞀馌ȏ"
00007FF6233AB3A1 | 48:85C9 | test rcx,rcx |
00007FF6233AB3A4 | 0F84 96000000 | je 7FF6233AB440 |
00007FF6233AB3AA | 48:8B01 | mov rax,qword ptr ds: |
00007FF6233AB3AD | BA 45030000 | mov edx,345 |
00007FF6233AB3B2 | FF50 58 | call qword ptr ds: |
00007FF6233AB3B5 | E9 89000000 | jmp 7FF6233AB443 |
00007FF6233AB3BA | 48:8B0D 17E64200 | mov rcx,qword ptr ds: | 00007FF6237D99D8:L"瞀馌ȏ"
00007FF6233AB3C1 | 48:85C9 | test rcx,rcx |
00007FF6233AB3C4 | 74 0D | je 7FF6233AB3D3 |
00007FF6233AB3C6 | 48:8B01 | mov rax,qword ptr ds: |
00007FF6233AB3C9 | BA 43030000 | mov edx,343 |
00007FF6233AB3CE | FF50 58 | call qword ptr ds: |
00007FF6233AB3D1 | EB 03 | jmp 7FF6233AB3D6 |
00007FF6233AB3D3 | 48:8BC3 | mov rax,rbx |
00007FF6233AB3D6 | 48:8BD0 | mov rdx,rax |
00007FF6233AB3D9 | 48:8D4C24 70 | lea rcx,qword ptr ss: |
00007FF6233AB3DE | FF15 14DE2B00 | call qword ptr ds:[<&Ordinal#1495>] |
00007FF6233AB3E4 | 48:8B0D EDE54200 | mov rcx,qword ptr ds: | 00007FF6237D99D8:L"瞀馌ȏ"
00007FF6233AB3EB | 48:85C9 | test rcx,rcx |
00007FF6233AB3EE | 74 50 | je 7FF6233AB440 |
00007FF6233AB3F0 | 48:8B01 | mov rax,qword ptr ds: |
00007FF6233AB3F3 | BA 46030000 | mov edx,346 |
00007FF6233AB3F8 | FF50 58 | call qword ptr ds: |
00007FF6233AB3FB | EB 46 | jmp 7FF6233AB443 |
00007FF6233AB3FD | 48:8B0D D4E54200 | mov rcx,qword ptr ds: | 00007FF6237D99D8:L"瞀馌ȏ"
00007FF6233AB404 | 48:85C9 | test rcx,rcx |
00007FF6233AB407 | 74 0D | je 7FF6233AB416 |
00007FF6233AB409 | 48:8B01 | mov rax,qword ptr ds: |
00007FF6233AB40C | BA 42030000 | mov edx,342 |
00007FF6233AB411 | FF50 58 | call qword ptr ds: |
00007FF6233AB414 | EB 03 | jmp 7FF6233AB419 |
00007FF6233AB416 | 48:8BC3 | mov rax,rbx |
00007FF6233AB419 | 48:8BD0 | mov rdx,rax |
00007FF6233AB41C | 48:8D4C24 70 | lea rcx,qword ptr ss: |
00007FF6233AB421 | FF15 D1DD2B00 | call qword ptr ds:[<&Ordinal#1495>] |
00007FF6233AB427 | 48:8B0D AAE54200 | mov rcx,qword ptr ds: | 00007FF6237D99D8:L"瞀馌ȏ"
00007FF6233AB42E | 48:85C9 | test rcx,rcx |
00007FF6233AB431 | 74 0D | je 7FF6233AB440 |
00007FF6233AB433 | 48:8B01 | mov rax,qword ptr ds: |
00007FF6233AB436 | BA 47030000 | mov edx,347 |
00007FF6233AB43B | FF50 58 | call qword ptr ds: |
00007FF6233AB43E | EB 03 | jmp 7FF6233AB443 |
00007FF6233AB440 | 48:8BC3 | mov rax,rbx |
00007FF6233AB443 | 48:8BD0 | mov rdx,rax |
00007FF6233AB446 | 48:8D4D 80 | lea rcx,qword ptr ss: |
00007FF6233AB44A | FF15 A8DD2B00 | call qword ptr ds:[<&Ordinal#1495>] |
00007FF6233AB450 | 48:8D5424 60 | lea rdx,qword ptr ss: |
00007FF6233AB455 | 48:8B7D A8 | mov rdi,qword ptr ss: |
00007FF6233AB459 | 48:8B8F 50150000 | mov rcx,qword ptr ds: |
00007FF6233AB460 | E8 DBE0FFFF | call <sub_7FF6233A9540 |
00007FF6233AB465 | F64424 60 10 | test byte ptr ss:,10 |
00007FF6233AB46A | 74 31 | je 7FF6233AB49D |
00007FF6233AB46C | 48:8B0D 65E54200 | mov rcx,qword ptr ds: | 00007FF6237D99D8:L"瞀馌ȏ"
00007FF6233AB473 | 48:85C9 | test rcx,rcx |
00007FF6233AB476 | 74 0D | je 7FF6233AB485 |
00007FF6233AB478 | 48:8B01 | mov rax,qword ptr ds: |
00007FF6233AB47B | BA 90030000 | mov edx,390 |
00007FF6233AB480 | FF50 58 | call qword ptr ds: |
00007FF6233AB483 | EB 03 | jmp 7FF6233AB488 |
00007FF6233AB485 | 48:8BC3 | mov rax,rbx |
00007FF6233AB488 | 4C:8BC0 | mov r8,rax |
00007FF6233AB48B | 48:8D15 3EC92E00 | lea rdx,qword ptr ds: | 00007FF623697DD0:L" [* %s]"
00007FF6233AB492 | 48:8D4C24 70 | lea rcx,qword ptr ss: |
00007FF6233AB497 | FF15 0BD52B00 | call qword ptr ds:[<&Ordinal#2431>] |
00007FF6233AB49D | 807C24 51 00 | cmp byte ptr ss:,0 |
00007FF6233AB4A2 | 0F84 63040000 | je 7FF6233AB90B | ===>NOP 这里显示注册信息
好了,先写这么多吧,想到哪里不好再补充吧。
忆往昔经典岁月: 标题
1
kcuye 发表于 2021-1-29 22:38
虽然没看明白是什么软件,但是猜了个大概,回头空了试试看。弱弱地问一句:小白达到这种程度得花费多少脑细 ...
@kcuye
这得看你得兴趣和哪位师傅教了。
掌握过一门编程工具
还要有汇编基础
调试工具
外部软件作辅助
监控软件
对操作系统比如注册表啊,各类存储方式啊,绿色软件制作啊
这都有关联的
万一像我一样学会思维导图总结和笔记呢
万一聪明透顶呢
其实你只要肯琢磨和钻研,是编程工具都有漏洞和特点可挖
譬如某个变量,某种符号,一切皆无法,一切又有法可依。
学会变通,万法皆通。 冥界3大法王 发表于 2021-1-29 23:32
@kcuye
这得看你得兴趣和哪位师傅教了。
掌握过一门编程工具
一切皆有可能,适时行动不如马上行动,开始学起来了。 希望有大神可以每天来一节破解课!教会我们这些小白 等待你继续更新:lol 看起来很厉害的样子。
看看看看 看起来很厉害的样子
等待你继续更新 虽然没看明白是什么软件,但是猜了个大概,回头空了试试看。弱弱地问一句:小白达到这种程度得花费多少脑细胞?
页:
[1]
2