网站 › 『脱壳破解区』 › 某学籍照片采集程序5.0爆破、追码+导出注册文件

tangdragon 发表于 2015-11-22 11:27

某学籍照片采集程序5.0爆破、追码+导出注册文件

本帖最后由 tangdragon 于 2015-11-22 17:24 编辑

    【软件名】：某学籍照片采集软件5.0
    【来源】：自己下载
    【工具】：PEid 0.96、OD
    【说明】：只是研究一下，分享一下易语言程序分析的一般思路而已。要软件的请自己搜索，很容易下载到，这里就不传附件了。仅供分析、测试，如果需要请购买正版。
   安装后启动显示“未注册”：
http://attach.52pojie.cn/forum/201511/22/112613l888qeoa38ei88b8.jpg
http://attach.52pojie.cn/forum/201511/22/112613rf7j6kt4nndz6dfc.jpg
http://attach.52pojie.cn/forum/201511/22/112613dl5l6mpz1p9thnni.jpg
http://attach.52pojie.cn/forum/201511/22/112614qo0ik4743ifklp3j.jpg
    未注册导出照片也不让。
http://attach.52pojie.cn/forum/201511/22/112614uukmlwkmhhegmw7g.jpg
    主程序拖入PEiD v0.96 显示：E Language -> WuTao * Sign.By.fly * 很明显是 易语言 程序。
http://attach.52pojie.cn/forum/201511/22/112614bf3oa4m5ksp78p4c.jpg
    OD载入，运行程序，让它跑起来，然后F12暂停，按Alt+E，在krnln上点右键，选择“查看内存”：
http://attach.52pojie.cn/forum/201511/22/112615r2owdw2mhtjq2hzt.jpg
    向上找到主程序的 .data 处下断：
http://attach.52pojie.cn/forum/201511/22/112616q7qq94z7rqggugpg.jpg
    F9继续运行程序，它就会断在这里：
http://attach.52pojie.cn/forum/201511/22/112616v0cmxujcqk57j5c5.jpg
    然后按右键，搜索字符串吧。
http://attach.52pojie.cn/forum/201511/22/112617p5bncub7kqd5q5hc.jpg
    搜完后很容易找到注册成功的提示信息，如图：
http://attach.52pojie.cn/forum/201511/22/112618ecpp3z1cllxx135l.jpg
   双击进入简单分析一下，向上找到一些线索，在其中几个CALL后按F2下断，运行至60B448处出现假码（我输入的假码是8989898989898989）和疑似真码（1028859292）。
http://attach.52pojie.cn/forum/201511/22/112619s48fe2hrh6xnr5c6.jpg
    将疑似真码（1028859292）复制出来注册，一次成功（未发现暗桩，幸运^_^）。
http://attach.52pojie.cn/forum/201511/22/112619zw2tyyjklwwy7l27.jpg
    既然找到了注册码，具体算法就不深究了，太累人了。
http://attach.52pojie.cn/forum/201511/22/112621ahi8dy3rrifbzhrr.jpg
    【总结】
   出现真码处：60B448，保存在 ECX，有兴趣做内存注册机的朋友看下图可以弄了。
http://attach.52pojie.cn/forum/201511/22/112619s48fe2hrh6xnr5c6.jpg
   爆破点：60B47D，NOP掉或者84改85一字节解决。
http://attach.52pojie.cn/forum/201511/22/112620u5c8ucmcf5c5fn8w.jpg
      注册标志：注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\reg\ceshi值填入十六进制3e7（十进制999）即可。看下图有启示吧？
http://attach.52pojie.cn/forum/201511/22/112620x7r6s7pf79p8s2t7.jpg

   注册表标志导出后的样子：
http://attach.52pojie.cn/forum/201511/22/112621riw1bicf8zbt1oz5.jpg
      附上注册表文件，保存成.reg文件后导入注册表即可（评分回复可见）。
**** Hidden Message *****
      弄这么多图还不评分？视评分多少发下一个：某学籍照相软件9.X的爆点分析^_^

btzx 发表于 2015-11-22 11:46

老周学籍照片采集系统功能强大，拍出的照片安全符合国家标准，自动命名一步到位，打包就可以上传，大大减轻老师的繁重劳动。本软件免安装，可以带在u盘上面。解压就能用，适合新手。老周学籍照片采集系统，是专门为国家教育部最新的学籍而专门设计的，本系统设计独特，极易上手，操作简单，拍照、命名一步到位。

tangdragon 发表于 2015-11-23 14:49

annittasha 发表于 2015-11-23 14:27
软件下载地址在哪？

这里可以吧。http://www.xdowns.com/soft/6/56/2014/Soft_121927.html，度娘也很容易找到啊。

蜗牛丶 发表于 2015-11-22 11:34

我想说的是 把软件发出来好么？

小兔崽 发表于 2015-11-22 11:36

查学籍用的啊0.0

btzx 发表于 2015-11-22 11:41

老周学籍照片采集系统 5.0

ntcjq 发表于 2015-11-22 11:49

jw8013 发表于 2015-11-22 12:05

都发原创这里了，软件也给出来不是更好？

asus21 发表于 2015-11-22 12:06

好文章，图文并茂。谢谢楼主

snwfnh 发表于 2015-11-22 12:32

谢谢楼主分享来学习一下。

manbajie 发表于 2015-11-22 12:34

嗯嗯，好的学习了

查看完整版本: 某学籍照片采集程序5.0爆破、追码+导出注册文件