小生第四课里找MD5校验位置的快捷方法!
前面的破解没什么好说的,MD5校验小生是通过一点点的跟出来的,很多人都看不懂怎么找到了。经过我的测试,通过下CreateFileMappingA(创建一个新的文件映射对象)或GetFileSize(取文件大小)断点能快速的到达MD5校验的位置。
而GetFileSize(取文件大小)离的更近点。
载入程序,下bp GetFileSize或通过API断点设置来下段
之后点豪迪群发软件里“插入其他”里的“昵称”或“时间”都可段下。
OD断下来了
反汇编窗口跟随到下图,
004B1E9E .8BC8 mov ecx,eax ;获取程序大小2020352
在上面那个地方下个断点,F9运行在这里断下,后单步走到返回就到MD5校验的位置的关键地方了。
如果下CreateFileMappingA也可以定位的很近和GetFileSize都在一个段里面,GetFileSize更快点。
希望对大家有帮助!
逝者如斯 发表于 2015-8-3 23:37
有什么好的办法能确定是不是MD5校验的??比如这个豪迪群发器! 死码定位??但是得自己懂delphi,里面还要 ...
小生教程里说了。感觉有很多是经验,如果加壳了,有可能是文件大小的校验,这个程序没加壳就试试其他能校验的地方了。 本帖最后由 wenbo998 于 2015-8-3 23:13 编辑
坐个沙发。感谢分享,不知道这个断点法是否可以用在其他MD5验证的软件里面。。软件的自校验是个大麻烦呀。 我就静静的看着 学习了。。。。 分析的挺仔细的。。。表示都没能进去群。。 有没有成品? 你这个 local.5
local.6
怎么读值? meiyoudao 发表于 2015-8-5 19:49
你这个 local.5
local.6
怎么读值?
右键删除分析就可以看到了。或在在上面双击也可以看到汇编代码 很好啊,谢谢楼主,学习中!!
页:
[1]
2