内存注册机如何获取到堆栈中的注册码？

朱朱你堕落了

如图：


想获取到ebp-4里面的内容

这个内存注册机怎么用，以前都是注册码直接在EAX，EBX, EDX等，没用过EBP这个寄存器。




获取不到，如何解决？把地址指针打勾，也获取不到。。。

用ESP也获取不到，如下图:



另外，问下，内存单元，是啥意思？

上传测试程序：https://www.lanzouj.com/i7vermb

苏紫方璇

冥界3大法王 发表于 2019-12-9 22:45
@苏紫方璇
他写得还是很不明白
右下角堆栈窗口怎么可能有ecx?

他说的应该是
对寄存器窗口ecx的数值按右键，堆栈窗口中跟随，然后在堆栈窗口双击第一条（也就是ecx的数值）地址，地址就会变成一个箭头（==>），上下地址就会变成相对于这个箭头位置的偏移。

冥界3大法王

@byh3025
你说的是对的，xp/win7/win10都成立
004010A9  /.  55             PUSH EBP
004010AA  |.  8BEC           MOV EBP,ESP
004010AC  |.  81EC 0C000000  SUB ESP,0xC
004010B2  |.  C745 FC 000000>MOV DWORD PTR SS:[EBP-0x4],0x0       ;  显然DWORD PTR SS:[EBP-0x4]这句把真码传了过去
004010B9  |.  B8 FC084800    MOV EAX,test.004808FC                ;  第一次看到52pojie
所以后面延伸两种改法：
第1种
00401179      68 FC084800    PUSH test.004808FC                   ;  失败
第2种
00401179      FF75 FC        PUSH DWORD PTR SS:[EBP-0x4]          ;  失败
DWORD PTR SS:[EBP-0x4]
都能假码弹真码，三个系统虚拟机都测试成功了!
但是朱朱说的很对，该方法并不总是对的！

朱朱你堕落了

能获取成功的，赠送大佬100CB

高锰酸钾

你可以在上面下断，看看什么时候这个注册码被压入内存的。
你注册机可以
中断地址:004010be，
中断次数:1，
第一字节:50，
指令长度:1，
保存下列信息打钩，
内存方式，
寄存器eax。
然后添加。试试看吧。

朱朱你堕落了

高锰酸钾 发表于 2019-12-6 16:53
你可以在上面下断，看看什么时候这个注册码被压入内存的。
你注册机可以
中断地址:004010be，

但是有些软件注册码根本就不会出现在EAX中，那么还是需要通过EBP或ESP来获取，所以还是想法用EBP或ESP吧。如果是EAX里面的，我就没必要发贴了。

无闻无问

什么名字的内存补丁工具？估计EBP是个指针，要取里面的地址的值才对……

朱朱你堕落了

无闻无问 发表于 2019-12-6 19:53
什么名字的内存补丁工具？估计EBP是个指针，要取里面的地址的值才对……

我用的就是keymake啊，应该是我没有设置错，估计是这个工具太老了，有BUG，获取不到，让我一直纠结是不是我弄错，估计还是工具本身的问题。

冥界3大法王

@无闻无问
keymake这个狗屎，win10上千万别用
刚才嗅探到的同时直接兰屏了。
论坛H老大爱盘的那个直接卡死了。
换到虚拟机里，换了几个地址，尝试了几十次，用上面截图的那个一样的设置也没成。
又换了几个工具，效果也不好。还得还得学学如何写汇编码得到注册码的方式比较好吧。

无闻无问

朱朱你堕落了 发表于 2019-12-6 19:55
我用的就是keymake啊，应该是我没有设置错，估计是这个工具太老了，有BUG，获取不到，让我一直纠结是不是 ...

就是我说的原因，ebp-4是地址而不是注册码，ebp-4是指针

朱朱你堕落了

无闻无问 发表于 2019-12-6 20:17
就是我说的原因，ebp-4是地址而不是注册码，ebp-4是指针

成功了？不可能吧。所有的情况我都试了一遍。

无闻无问

无闻无问 发表于 2019-12-6 20:17
就是我说的原因，ebp-4是地址而不是注册码，ebp-4是指针

eax能获取到是因为它是字符串注册码的常量地址，而ebp-4却是一个栈指针……我认为是这样，不知对不，请高手指教……