好友
阅读权限25
听众
最后登录1970-1-1
|
楼主|
Syer
发表于 2014-11-4 18:58
首先,这样说吧,这cm 有检测调试器的功能,正常载入会 结束od里面的进程,重新启动一份cm,这个可以用附加和恢复线程的操作去掉他的检测,然后 由于vb程序会有多个jmp 。
直接下断就好了,可以通常的表示为按钮事件,
源程序给了一组注册码,自己一个jmp一个jmp的跟
当jmp到004061C2 时 发现下面一个
004084B6 . /75 4D jnz short CrackMe.00408505
这个跳很可疑,因为按照正常注册成功的跳转这里是不跳的,但是我用052665678921 这个他跳了,那就修改标志位试一下
继续跟 过一个按钮事件到这里
004088F8 . 66:399D 10FFF>cmp word ptr ss:[ebp-0xF0],bx
004088FF . /0F84 AC030000 je CrackMe.00408CB1
接下来,看字符串,没有注册成功的字符串,内存搜索也没有,那我就猜吧,猜是释放出来的,那么1.txt这个就很可疑了。
完全一样的套路
而1.vps在失败的时候,那一段肯定是必须要走过的代码,这里就不分析了,
关键代码
00408AD2 . 66:399D 10FFF>cmp word ptr ss:[ebp-0xF0],bx
00408AD9 . /0F84 B7010000 je CrackMe.00408C96
可以看出套路完全一样,
这么几个地方了。。。
但是听说会下标越界。。那也没办法了,,,
|
|
发表于 2014-10-30 00:06
发表于 2014-11-4 15:06
发表于 2014-11-4 18:15
