超级不完美爆破Teleport_Pro

PPLL · 发表于 2012-2-6 03:34

软件：

Teleport_Pro.rar (543.95 KB, 下载次数: 135)

绝对属于我这些新手的教程。大牛忽视。。。。
先查壳，没有壳。
先注册下，看有什么提示如图：

，那就用消息框断点bp MessageBoxA试下,然后返回用户代码。主要代码如下。

0045345F  |.  8B7F 78    mov edi,dword ptr ds:[edi+0x78]
00453462  |.  EB 1A       jmp short Pro.0045347E
00453464  |>  8D85 ECFEFFFF lea eax,[local.69]
0045346A  |.  68 04010000 push 0x104                            ; /BufSize = 104 (260.)
0045346F  |.  50          push eax                               ; |PathBuffer
00453470  |.  6A 00       push 0x0                               ; |hModule = NULL
00453472  |.  8DBD ECFEFFFF lea edi,[local.69]                      ; |
00453478  |.  FF15 F0024700 call dword ptr ds:[<&KERNEL32.GetModuleF>; \GetModuleFileNameA
0045347E  |>  53          push ebx                               ; /Style
0045347F  |.  57          push edi                               ; |Title
00453480  |.  FF75 08    push [arg.1]                            ; |Text
00453483  |.  FF75 F4    push [local.3]                         ; |hOwner
00453486  |.  FF15 5C044700 call dword ptr ds:[<&USER32.MessageBoxA>>;错误框就在这里提示。
0045348C  |.  85F6       test esi,esi                            ;  Pro.004952E4

   等你们也返回到这里以后在段首下断，然后再跟单步跟，你们就会发现错误框不管你想改变哪个跳转都不可能跳过去，这可就悲催了。

方法我还是找出来了个，算是碰上耗子的。我是想是前面的哪个CALL调用了这里的呢。过这个错误框的方法在下面：
当返回到错误框的代码的时候，我们在最前面先下断，然后在运行使程序在刚才下的段暂停。这个时候，我们到堆栈看下，向下找到最近的一个程序调用的地址

0012F4D0 004534DD  返回到 Pro.004534DD
0012F4D4 0048FA98  Pro.0048FA98
0012F4D8 00000000
0012F4DC 00000000
0012F4E0 0048A3F8  ASCII "User"
0012F4E4 0042DF33  返回到 Pro.0042DF33 来自 Pro.004534BB          就是这个0042DF33
然后在编辑窗口跟随这个地址，在出现的代码的最前面下断，把其他断点的都删掉，重新运行，再注册就会断在刚才那个地方，代码如下。

0042DE9D .  51          push ecx    在这里断下，然后先单步跟
0042DE9E .  53          push ebx
0042DE9F .  55          push ebp
0042DEA0 .  56          push esi
0042DEA1 .  57          push edi
0042DEA2 .  8BF9       mov edi,ecx
0042DEA4 .  6A 01       push 0x1
0042DEA6 .  E8 8ACE0100 call Pro.0044AD35
0042DEAB .  8B87 D9000000 mov eax,dword ptr ds:[edi+0xD9]
0042DEB1 .  33DB       xor ebx,ebx
0042DEB3 .  6A 0A       push 0xA
0042DEB5 .  53          push ebx
0042DEB6 .  50          push eax
0042DEB7 .  E8 19670000 call Pro.004345D5
0042DEBC .  8BF0       mov esi,eax
0042DEBE .  A1 644A4900 mov eax,dword ptr ds:[0x494A64]
0042DEC3 .  83C4 0C    add esp,0xC
0042DEC6 .  897424 10    mov dword ptr ss:[esp+0x10],esi
0042DECA .  3898 CD040000 cmp byte ptr ds:[eax+0x4CD],bl
0042DED0    0F84 33010000 je Pro.0042E009                                  这个跳转一定不能跳的，因为都直接跳到最后了，那肯定是没有希望的。
0042DED6 .  3BF3       cmp esi,ebx
0042DED8 .  BD F8A34800 mov ebp,Pro.0048A3F8                   ;  ASCII "User"
0042DEDD    74 59       je short Pro.0042DF38
0042DEDF .  FFB7 D5000000 push dword ptr ds:[edi+0xD5]
0042DEE5 .  E8 BA090000 call Pro.0042E8A4
0042DEEA .  3BF0       cmp esi,eax
0042DEEC .  59          pop ecx
0042DEED .  75 0F       jnz short Pro.0042DEFE
0042DEEF .  53          push ebx
0042DEF0 .  53          push ebx
0042DEF1 .  FF35 F8B04800 push dword ptr ds:[0x48B0F8]          ;  Pro.00490570
0042DEF7 .  E8 BF550200 call Pro.004534BB0042DEED . /75 0F       jnz short Pro.0042DEFE

0042DEFC .  EB 75       jmp short Pro.0042DF73                                              发现这个可以跳过下面的错误框，但我们先需要修改下上面的0042DEFE使其不跳转
0042DF04 .  395F F8    cmp dword ptr ds:[edi-0x8],ebx
0042DF07 .  75 0A       jnz short Pro.0042DF13
0042DF09 .  53          push ebx
0042DF0A .  53          push ebx
0042DF0B .  FF35 70B14800 push dword ptr ds:[0x48B170]          ;  Pro.0048FC08
0042DF11 .  EB 1B       jmp short Pro.0042DF2E
0042DF13 >  57          push edi
0042DF14 .  E8 8B090000 call Pro.0042E8A4
0042DF19 .  59          pop ecx
0042DF1A .  85C0       test eax,eax
0042DF1C .  53          push ebx
0042DF1D .  53          push ebx
0042DF1E .  75 08       jnz short Pro.0042DF28
0042DF20 .  FF35 74B14800 push dword ptr ds:[0x48B174]          ;  Pro.0048FBB0
0042DF26 .  EB 06       jmp short Pro.0042DF2E
0042DF28 >  FF35 78B14800 push dword ptr ds:[0x48B178]          ;  Pro.0048FA98
0042DF2E >  E8 88550200 call Pro.004534BB                                        //大家最先单步跟下，就会发现会在这里有错误提示出来。然后我们在上面找个跳转跳过。
0042DF33 .  E9 D8000000 jmp Pro.0042E010
0042DF38 >  8B87 D9000000 mov eax,dword ptr ds:[edi+0xD9]
0042DF3E .  BE 58A64800 mov esi,Pro.0048A658                   ;  ASCII "For Evaluation Only"
0042DF43 .  56          push esi
0042DF44 .  50          push eax
0042DF45 .  E8 72670000 call Pro.004346BC
0042DF4A .  59          pop ecx
0042DF4B .  85C0       test eax,eax
0042DF4D .  59          pop ecx
0042DF4E    0F85 B5000000 jnz Pro.0042E009
0042DF54 .  53          push ebx
0042DF55 .  53          push ebx
0042DF56 .  FF35 7CB14800 push dword ptr ds:[0x48B17C]          ;  Pro.0048F9FC
0042DF5C .  E8 5A550200 call Pro.004534BB
0042DF61 .  8B0D 644A4900 mov ecx,dword ptr ds:[0x494A64]       ;  Pro.00495248
0042DF67 .  56          push esi
0042DF68 .  68 6CA64800 push Pro.0048A66C                      ;  ASCII "Tempcode"
0042DF6D .  55          push ebp
0042DF6E .  E8 F6560200 call Pro.00453669
0042DF73 >  A1 644A4900 mov eax,dword ptr ds:[0x494A64]
0042DF78 .  8898 CD040000 mov byte ptr ds:[eax+0x4CD],bl
0042DF7E .  A1 644A4900 mov eax,dword ptr ds:[0x494A64]
0042DF83 .  8898 CF040000 mov byte ptr ds:[eax+0x4CF],bl
0042DF89 .  A1 604A4900 mov eax,dword ptr ds:[0x494A60]
0042DF8E .  3BC3       cmp eax,ebx
0042DF90 .  74 06       je short Pro.0042DF98
0042DF92 .  8898 E40F0000 mov byte ptr ds:[eax+0xFE4],bl
0042DF98 >  FFB7 D5000000 push dword ptr ds:[edi+0xD5]
0042DF9E .  8DB7 D5000000 lea esi,dword ptr ds:[edi+0xD5]
0042DFA4 .  68 F0A34800 push Pro.0048A3F0                      ;  ASCII "Name"
0042DFA9 .  68 F0A44800 push Pro.0048A4F0                      ;  ASCII "SOFTWARE\Tennyson Maxwell\Teleport Pro"
0042DFAE .  68 02000080 push 0x80000002
0042DFB3 .  E8 210F0000 call Pro.0042EED9
0042DFB8 .  FF7424 20    push dword ptr ss:[esp+0x20]
0042DFBC .  BB D8A64800 mov ebx,Pro.0048A6D8                   ;  ASCII "Registration"
0042DFC1 .  53          push ebx
0042DFC2 .  68 F0A44800 push Pro.0048A4F0                      ;  ASCII "SOFTWARE\Tennyson Maxwell\Teleport Pro"
0042DFC7 .  68 02000080 push 0x80000002
0042DFCC .  E8 6C0F0000 call Pro.0042EF3D
0042DFD1 .  8B0D 644A4900 mov ecx,dword ptr ds:[0x494A64]       ;  Pro.00495248
0042DFD7 .  83C4 20    add esp,0x20
0042DFDA .  FF36       push dword ptr ds:[esi]
0042DFDC .  68 F0A34800 push Pro.0048A3F0                      ;  ASCII "Name"
0042DFE1 .  55          push ebp
0042DFE2 .  E8 82560200 call Pro.00453669
0042DFE7 .  FF7424 10    push dword ptr ss:[esp+0x10]
0042DFEB .  8B0D 644A4900 mov ecx,dword ptr ds:[0x494A64]       ;  Pro.00495248
0042DFF1 .  53          push ebx
0042DFF2 .  55          push ebp
0042DFF3 .  E8 FC550200 call Pro.004535F4
0042DFF8 .  A1 644A4900 mov eax,dword ptr ds:[0x494A64]
0042DFFD .  56          push esi
0042DFFE .  8D88 09050000 lea ecx,dword ptr ds:[eax+0x509]
0042E004 .  E8 E5DA0100 call Pro.0044BAEE
0042E009 >  8BCF       mov ecx,edi
0042E00B .  E8 2EA50100 call Pro.0044853E
0042E010 >  5F          pop edi
0042E011 .  5E          pop esi
0042E012 .  5D          pop ebp
0042E013 .  5B          pop ebx
0042E014 .  59          pop ecx
0042E015 .  C3          retn

只要修改了上面那个转挑就可以弄掉限制了。。。但是每次用的时候都要注册下。这个注册表类型的

粗劣的把视频做了下：http://115.com/file/an4a4w00#破解Teleport_Pro.exe

黑鹰教程里面的另一个版本比较变态的，修改了程序后，要我过两个自校验，一个是程序名的，还有一个就不知道什么的，反正就是要用到断点。。地址

Teleport Pro--黑鹰.rar (1.2 MB, 下载次数: 105)

PPLL · 发表于 2012-2-6 03:36

对了是程序被修改的自校验两个自校验都是哎在一起的

血染天下无敌 · 发表于 2012-2-6 05:43

支持下呵呵！

流浪的猫眼石 · 发表于 2012-2-6 07:49

视频教程就好了~~~~

清鹏 · 发表于 2012-2-6 08:03

支持下呵呵！

ducksofthacker · 发表于 2012-2-6 09:25

把自校验nop掉就行了，很简单的，只是找自校验代码有点伤脑筋

fxk2009 · 发表于 2012-2-6 11:00

学习中。。。。。。。。。。。。

冰河之刃 · 发表于 2012-2-6 12:43

用户名：冰河之刃
注册码：1055892101

我以前破解的时候跟算法算出来的号。感兴趣的试下。。。

1107984908 · 发表于 2012-2-18 16:43

什么意思
我讨厌字母啊

wolong810825 · 发表于 2012-7-5 12:57

这个是CRC32算法的注册机制，在寄存器里做的注册码比较，直接就可以跟出注册码

帐号		自动登录	找回密码
密码			注册[Register]

[原创] 超级不完美爆破Teleport_Pro