官方bilibiliWindows破解入门Android逆向入门
【网络诊断修复工具】切换到窄版

吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

吾爱破解 - 52pojie.cn»网站 【 软件安全 】 『脱壳破解区』 『脱壳破解讨论求助区』 想用OD添加窗口断点,但是无法断下来,请教原因?
12下一页
返回列表 发新帖
查看: 2556|回复: 17
收起左侧

[已解决] 想用OD添加窗口断点,但是无法断下来,请教原因?

[复制链接]
POD154981
头像被屏蔽
POD154981 发表于 2021-1-1 13:02
提示: 作者被禁止或删除 内容自动屏蔽

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复

举报

冥界3大法王
冥界3大法王 发表于 2021-1-18 13:38
本帖最后由 冥界3大法王 于 2021-1-18 13:42 编辑

1002299C | 8078  | cmp byte ptr ds:[eax+8],0               | 我们断在这里!
100229A0 | 75 04 | jne imfc0.100229A6                      |
100229A2 | C646  | mov byte ptr ds:[esi+64],1              |
100229A6 | 8D542 | lea edx,dword ptr ss:[esp+14]           |
100229AA | 52    | push edx                                | edx:L"\r"
100229AB | 8D442 | lea eax,dword ptr ss:[esp+20]           |
100229AF | 50    | push eax                                |
100229B0 | 8D4C2 | lea ecx,dword ptr ss:[esp+20]           |
100229B4 | 51    | push ecx                                |
100229B5 | E8 C6 | call <imfc0.?instance@regLib@@SAPAV1@XZ |
100229BA | 8BC8  | mov ecx,eax                             |
100229BC | E8 1F | call <imfc0.?verifySN@regLib@@QAEHABVQS |   很明显这里校验注册码, 等什么F7 跟入



1008C327 | E8 F4 | call <imfc0.?IsValidRegInfo@regLib@@QAE |
1008C32C | 84C0  | test al,al                              |
1008C32E | 0F84  | je imfc0.1008C48A                       | 这里NOP掉,就显示注册成功了~~
1008C334 | 56    | push esi                                |
1008C335 | 57    | push edi                                | edi:&"Actx "
1008C336 | 55    | push ebp                                |
1008C337 | E8 44 | call <imfc0.?instance@regLib@@SAPAV1@XZ |
1008C33C | 8BC8  | mov ecx,eax                             |
1008C33E | E8 ED | call <imfc0.?SaveRegInfo@regLib@@QAE_NA |
1008C343 | E8 38 | call <imfc0.?instance@regLib@@SAPAV1@XZ |
1008C348 | 8BF0  | mov esi,eax                             |
1008C34A | 8BCE  | mov ecx,esi                             |
1008C34C | E8 5F | call <imfc0.?updateState@regLib@@QAEXXZ |
1008C351 | 8B76  | mov esi,dword ptr ds:[esi+C]            |
1008C354 | 85F6  | test esi,esi                            |
1008C356 | 75 0E | jne imfc0.1008C366                      |
1008C358 | 6A 01 | push 1                                  |
1008C35A | E8 21 | call <imfc0.?instance@regLib@@SAPAV1@XZ |
1008C35F | 8BC8  | mov ecx,eax                             |
1008C361 | E8 8A | call <imfc0.?setRegState@regLib@@IAEXH@ |
1008C366 | 68 3C | push imfc0.100CB03C                     | 100CB03C:L"1"
1008C36B | 8D4C2 | lea ecx,dword ptr ss:[esp+24]           |
1008C36F | FF15  | call dword ptr ds:[<&??0QVariant@@QAE@P |
1008C375 | 68 24 | push imfc0.100D6D24                     | 100D6D24:"regstatus" 这是注册状态!
1008C37A | 8D4C2 | lea ecx,dword ptr ss:[esp+48]           |
1008C37E | C7442 | mov dword ptr ss:[esp+3C],0             |
1008C386 | FF15  | call dword ptr ds:[<&??0QString@@QAE@PB |
1008C38C | C6442 | mov byte ptr ss:[esp+38],1              |
1008C391 | FF15  | call dword ptr ds:[<&?instance@QCoreApp |
1008C397 | 8B40  | mov eax,dword ptr ds:[eax+8]            |
1008C39A | 6A 00 | push 0                                  |
1008C39C | 8D4C2 | lea ecx,dword ptr ss:[esp+24]           |
1008C3A0 | 51    | push ecx                                |
1008C3A1 | 8D542 | lea edx,dword ptr ss:[esp+4C]           |
1008C3A5 | 52    | push edx                                |
1008C3A6 | 8BC8  | mov ecx,eax                             |
1008C3A8 | E8 D3 | call <imfc0.?setValue@ImPref@@QAE_NABVQ |
1008C3AD | 8D4C2 | lea ecx,dword ptr ss:[esp+44]           |
1008C3B1 | C6442 | mov byte ptr ss:[esp+38],0              |
1008C3B6 | FF15  | call dword ptr ds:[<&??1QString@@QAE@XZ |
1008C3BC | 83CE  | or esi,FFFFFFFF                         |
1008C3BF | 8D4C2 | lea ecx,dword ptr ss:[esp+20]           |
1008C3C3 | 89742 | mov dword ptr ss:[esp+38],esi           |
1008C3C7 | FF15  | call dword ptr ds:[<&??1QVariant@@QAE@X |
1008C3CD | 8D4C2 | lea ecx,dword ptr ss:[esp+48]           |
1008C3D1 | FF15  | call dword ptr ds:[<&??0QString@@QAE@XZ |
1008C3D7 | 68 04 | push imfc0.100D6104                     | 100D6104:"NetworkVerify" 这是网络校验
1008C3DC | 8D4C2 | lea ecx,dword ptr ss:[esp+48]           |
1008C3E0 | C7442 | mov dword ptr ss:[esp+3C],2             |
1008C3E8 | FF15  | call dword ptr ds:[<&??0QString@@QAE@PB |
1008C3EE | 8D442 | lea eax,dword ptr ss:[esp+48]           |
1008C3F2 | 50    | push eax                                |
1008C3F3 | 8D4C2 | lea ecx,dword ptr ss:[esp+48]           |
1008C3F7 | 51    | push ecx                                |
1008C3F8 | 8BCB  | mov ecx,ebx                             |
1008C3FA | C6442 | mov byte ptr ss:[esp+40],3              |
1008C3FF | E8 DC | call <imfc0.?ReadEncryptString@regLib@@ |
1008C404 | 8D4C2 | lea ecx,dword ptr ss:[esp+44]           |
1008C408 | C6442 | mov byte ptr ss:[esp+38],2              |
1008C40D | FF15  | call dword ptr ds:[<&??1QString@@QAE@XZ |
1008C413 | 68 68 | push imfc0.100D1068                     | 100D1068:L"0"
1008C418 | 8D4C2 | lea ecx,dword ptr ss:[esp+4C]           |
1008C41C | FF15  | call dword ptr ds:[<&??8QString@@QBE_NP |
1008C422 | 84C0  | test al,al                              |
1008C424 | EB 25 | jmp imfc0.1008C44B                      |
1008C426 | 6A 01 | push 1                                  |
1008C428 | E8 53 | call <imfc0.?instance@regLib@@SAPAV1@XZ |
1008C42D | 8BC8  | mov ecx,eax                             |
1008C42F | E8 CC | call <imfc0.?olsVerifyAndCollect@regLib |
1008C434 | 8D4C2 | lea ecx,dword ptr ss:[esp+48]           |
1008C438 | 89442 | mov dword ptr ss:[esp+18],eax           |
1008C43C | 89742 | mov dword ptr ss:[esp+38],esi           |
1008C440 | FF15  | call dword ptr ds:[<&??1QString@@QAE@XZ |
1008C446 | E9 D6 | jmp imfc0.1008C521                      |
1008C44B | 807B  | cmp byte ptr ds:[ebx+9],0               |
1008C44F | 75 26 | jne imfc0.1008C477                      |
1008C451 | E8 2A | call <imfc0.?instance@regLib@@SAPAV1@XZ |
1008C456 | 68 98 | push imfc0.100D5898                     | 100D5898:"startVerifyAndCollectThread\n"
1008C45B | 8BF8  | mov edi,eax                             | edi:&"Actx "
1008C45D | FF15  | call dword ptr ds:[<&printf>]           |
1008C463 | 68 80 | push imfc0.100D5880                     | 100D5880:"1on_timerout_verify()"
1008C468 | 57    | push edi                                | edi:&"Actx "
1008C469 | 68 D0 | push 7D0                                |
1008C46E | FF15  | call dword ptr ds:[<&?singleShot@QTimer |
1008C474 | 83C4  | add esp,10                              |
1008C477 | 8D4C2 | lea ecx,dword ptr ss:[esp+48]           |
1008C47B | 89742 | mov dword ptr ss:[esp+38],esi           |
1008C47F | FF15  | call dword ptr ds:[<&??1QString@@QAE@XZ |
1008C485 | E9 97 | jmp imfc0.1008C521                      |
1008C48A | 68 EC | push imfc0.100D5EEC                     | 100D5EEC:"null"
1008C48F | 8D4C2 | lea ecx,dword ptr ss:[esp+44]           |
1008C493 | FF15  | call dword ptr ds:[<&??0QString@@QAE@PB |
1008C499 | 68 EC | push imfc0.100D5EEC                     | 100D5EEC:"null"
1008C49E | 8D4C2 | lea ecx,dword ptr ss:[esp+48]           |
1008C4A2 | C7442 | mov dword ptr ss:[esp+3C],4             |
1008C4AA | FF15  | call dword ptr ds:[<&??0QString@@QAE@PB |
1008C4B0 | B3 05 | mov bl,5                                |
1008C4B2 | 68 EC | push imfc0.100D5EEC                     | 100D5EEC:"null"
1008C4B7 | 8D4C2 | lea ecx,dword ptr ss:[esp+4C]           |
1008C4BB | 885C2 | mov byte ptr ss:[esp+3C],bl             |
1008C4BF | FF15  | call dword ptr ds:[<&??0QString@@QAE@PB |
1008C4C5 | 8D542 | lea edx,dword ptr ss:[esp+40]           | [esp+40]:"Actx "
1008C4C9 | 52    | push edx                                |
1008C4CA | 8D442 | lea eax,dword ptr ss:[esp+48]           |
1008C4CE | 50    | push eax                                |
1008C4CF | 8D4C2 | lea ecx,dword ptr ss:[esp+50]           |
1008C4D3 | 51    | push ecx                                |
1008C4D4 | C6442 | mov byte ptr ss:[esp+44],6              |
1008C4D9 | E8 A2 | call <imfc0.?instance@regLib@@SAPAV1@XZ |
1008C4DE | 8BC8  | mov ecx,eax                             |
1008C4E0 | E8 4B | call <imfc0.?SaveRegInfo@regLib@@QAE_NA |
1008C4E5 | 8D4C2 | lea ecx,dword ptr ss:[esp+48]           |
1008C4E9 | 885C2 | mov byte ptr ss:[esp+38],bl             |
1008C4ED | FF15  | call dword ptr ds:[<&??1QString@@QAE@XZ |
1008C4F3 | 8D4C2 | lea ecx,dword ptr ss:[esp+44]           |
1008C4F7 | C6442 | mov byte ptr ss:[esp+38],4              |
1008C4FC | FF15  | call dword ptr ds:[<&??1QString@@QAE@XZ |
1008C502 | 83CE  | or esi,FFFFFFFF                         |
1008C505 | 8D4C2 | lea ecx,dword ptr ss:[esp+40]           | [esp+40]:"Actx "
1008C509 | 89742 | mov dword ptr ss:[esp+38],esi           |
1008C50D | FF15  | call dword ptr ds:[<&??1QString@@QAE@XZ |
1008C513 | 6A 00 | push 0                                  |
1008C515 | E8 66 | call <imfc0.?instance@regLib@@SAPAV1@XZ |
1008C51A | 8BC8  | mov ecx,eax                             |
1008C51C | E8 CF | call <imfc0.?setRegState@regLib@@IAEXH@ |
1008C521 | 68 28 | push imfc0.100CF428                     | 100CF428:"updateTitle"

光注册成功是不够的,还得解决重启校验的问题。
HKEY_CURRENT_USER\Software\Xilisoft\Video Editor 2\RegInfo 从这个跟下去,返回注册标志就OK了。

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
POD154981 + 1 + 1 热心回复!

查看全部评分

【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
回复 支持 1

举报

涛之雨
涛之雨 发表于 2021-1-1 13:05
吾爱破解论坛没有任何官方QQ群,禁止留联系方式,禁止任何商业交易。
可能是自定义窗口或是窗口提前创建了,
只是更改内容后显示出来。
可以试下弹窗后点暂停然后查看堆栈(ok上面快捷按钮的k)试试
如何升级?如何获得积分?积分对应解释说明!
回复 支持

举报

byh3025
byh3025 发表于 2021-1-1 14:07
《站点帮助文档》有什么问题来这里看看吧,这里有你想知道的内容!
不同语言编写的api也不一样
呼吁大家发布原创作品添加吾爱破解论坛标识!
回复 支持

举报

POD154981
头像被屏蔽
 楼主| POD154981 发表于 2021-1-1 14:48
提示: 作者被禁止或删除 内容自动屏蔽
如何快速判断一个文件是否为病毒!
回复 支持

举报

涛之雨
涛之雨 发表于 2021-1-1 14:52
POD154981 发表于 2021-1-1 14:48
我在弹窗后按F12暂停,按K看堆栈,然后发现里面的调用是7开头的,系统领空,我看这个帖子https://www.52p ...

看线程是不是被挂起了(上放快件按键t),如果是有挂起的,右键激活
回复 支持

举报

POD154981
头像被屏蔽
 楼主| POD154981 发表于 2021-1-1 15:16
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持

举报

涛之雨
涛之雨 发表于 2021-1-1 15:59
POD154981 发表于 2021-1-1 15:16
红色的是一开始的进程,一开始只有它。始终是激活的。其他的是突然出现的,恢复挂起的会自动暂停 ...

你是不单步步过么?
吧所有的线程都启用啊,右键点击启用全部,会在你刚才步过的地方返回
回复 支持

举报

无闻无问
无闻无问 发表于 2021-1-1 15:59
CreateWindow能不能断?不能换武器,x64dbg上
回复 支持

举报

POD154981
头像被屏蔽
 楼主| POD154981 发表于 2021-1-1 16:15
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持

举报

POD154981
头像被屏蔽
 楼主| POD154981 发表于 2021-1-1 16:19
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-25 06:36

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表