学习yyhd给新手看的(第十四集)注册表验证学习总结(保姆级)
本帖最后由 molucky 于 2024-11-18 13:05 编辑这期第十四集分享,我研究了很久。最主要原因是,我的分析界面与大佬的界面,完全不同,导致处理问题,花了不少时间。
yyhd第十四集原路径https://www.52pojie.cn/thread-1363767-1-1.html
主要问题在,大佬的分析界面在模块CM,而我的分析界面在模块winahfra。(如果大家也有和我一样的问题,请看以下问题处理贴)
经过Hmily大佬的指导,终于找到了问题的原因,问题处理贴路径https://www.52pojie.cn/thread-1982192-1-1.html
来看软件
这次还是来处理灰色按钮,但是增加了重启验证
思路1:直接把灰色按钮变更黑色,问题直接解决,请看上期教程,在此不做分析。https://www.52pojie.cn/forum.php?mod=viewthread&tid=1981357&page=1#pid51720485
思路2:由于知道这次增加了注册表验证,方法1:增加注册表验证内容(该方法修改注册表),方法2:跳过注册表验证内容(该方法修改软件)(这次主讲这个思路及2个方法)
开始学习新函数RegOpenKeyExA,这函数是什么意思呢?
函数我的理解就是,软件需要打开注册表的信息,就会停止在打开位置,如果该软件不需要打开注册表,就会直接跳过。
如果软件不需要打开注册表验证,即使勾选了这个函数也会直接跳过。(已验证)
把软件拖进OD
设置RegOpenKeyExA断点
按F9运行软件,到达断点RegOpenKeyExA
取消断点
开始分析
已找到注册表验证路径HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\CM0201,但是使用哪个字符串,字符串的值是什么还未知。
按F8来到第一个retn,我们看到了一个新字段usePASS(如果这个字段是字符串,那字符串的值还未出现)继续分析
经过几次的retn后,再次看到路径中的usePASS,确定这个字段为注册表中的字符串,寻找字符串中的值
后面找到一个字段为52pojie_yyhd,这个可能就是usePASS的值
方法1,修改注册表,新增内容
在不改变软件的前提下,在注册表中,增加HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\CM0201,字符串usePASS=52pojie_yyhd
这样注册表就验证成功了,软件将直接可以打开
来测试结果
win+r,打开运行,输入regedit,打开注册表,
在HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node目录下新增项,命名为CM0201
在CM0201目录下,新建字符串usePASS,修改数值为52pojie_yyhd
注册表中创建完成后验证软件,软件验证成功
方法2,跳过注册表验证内容
关键跳转修改成nop,进行保存打包后,进行验证。
如果您觉得我发的内容确实对您有所帮助,请麻烦您支持一个热心值,进行精神鼓励,也是我继续写下去的动力!
学习学习了 学习了,谢谢分享。 多谢,学习了 感谢楼主的分享,学习了 谢谢分享,学习! 又可以学习啦,非常感谢!! 学校一下 学习学习 感谢大神分享 很详细,学习了{:1_893:}