好友
阅读权限40
听众
最后登录1970-1-1
|
本帖最后由 冥界3大法王 于 2014-3-8 14:06 编辑
通常情况下:
我们可以这样操作,
1,OD打开软件,字串搜索,来到注册码错误的提示框,按下F2,便于眼睛观看
同样搜索字串时也要来到正确字串的位置……………………………………………(虽然你不可能一下子,来到!但我们同样按F2便于眼睛观察和分析)
同样也………………………………注册表键值,象delphi ,code name这类的注册表键值处 ,也是需要留意的
2,先大致F8跟一遍,看看哪里玩完的?利用 OD的注释功能,写上 1 2 3 4 (是否 本次跳到了? 出来啥提示?一定要记下来,否则就是没文化行为)
3,接下来第二轮尝试修改
call XXX
test XXX,XXX cmp XXX,XXX ,观察这里的数值,到底是1 还是0 ( A)它的下一句就很重要了。
尝试第三轮中修改, JMP 或 根据情况来NOP 或其他
对于比较简单的,一般就马上有作用(譬如临时的 假注册成功)
我们就可以 把上面 结论 ( A)
的数值 记下来,作为 判断 条件记录下,
接下来 第四轮,我们就要改为 强力改跳转,让程序必须 JMP到要 弹正确提示的地方了,
一般情况下,程序走的路线越复杂,则成功的可能也就越高,一下子跳到关闭 可能就结束,或重启的地方一般马上就完蛋了
跟到了call中,一般情况,第一轮先无视,
第二轮要F7跟入看看里边发生了什么情况?
如果死循环在:007XXXXX就按 Ctrl+F9回到函数返回
Alt+F9 是回到用户,Alt键的英文搞懂了,打死你你也不会按错的~~
这样对于两个条件的 就快速解决了,让程序强迫性的把注册码写入 注册表键值 或相关文件,你也就成功了(但有时到这里时只能说成功了一半)、
对于 有重启验证的,我们就要用到 前面 记下的 那个标志A 作为全局标志来看待
bp readfile 或BP 注册表,断下后,一般是在PE 解包之后的不远处,
人品好的话,马上就能 再次来到 上面提到的 A 那样的语句上了,此时下手,全局标志也就有了,你也就成功了。
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2014-3-8 13:58
