好友 阅读权限 25
听众 最后登录 1970-1-1
本帖最后由 tangdragon 于 2015-11-22 17:24 编辑 【软件名】:某学籍照片采集软件5.0 未注册导出照片也不让。 主程序拖入PEiD v0.96 显示:E Language -> WuTao * Sign.By.fly * 很明显是 易语言 程序。 OD载入,运行程序,让它跑起来,然后F12暂停,按Alt+E,在krnln上点右键,选择“查看内存”: 向上找到主程序的 .data 处下断: F9继续运行程序,它就会断在这里: 然后按右键,搜索字符串吧。 搜完后很容易找到注册成功的提示信息,如图: 双击进入简单分析一下,向上找到一些线索,在其中几个CALL后按F2下断,运行至60B448处出现假码(我输入的假码是8989898989898989)和疑似真码(1028859292)。 将疑似真码(1028859292)复制出来注册,一次成功(未发现暗桩,幸运^_^)。 既然找到了注册码,具体算法就不深究了,太累人了。 【总结】 爆破点:60B47D,NOP掉或者84改85一字节解决。 注册标志:注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\reg\ceshi值填入十六进制3e7(十进制999)即可。看下图有启示吧? 注册表标志导出后的样子: 附上注册表文件,保存成.reg文件后导入注册表即可(评分回复可见)。 弄这么多图还不评分?视评分多少发下一个:某学籍照相软件9.X的爆点分析^_^
Y220.jpg
(179.46 KB, 下载次数: 6)
226.jpg
(17.4 KB, 下载次数: 6)
注册表文件
225.jpg
(90.46 KB, 下载次数: 3)
224.jpg
(126.37 KB, 下载次数: 4)
223.jpg
(27.05 KB, 下载次数: 5)
222.jpg
(170.07 KB, 下载次数: 5)
219.jpg
(103.66 KB, 下载次数: 5)
218.jpg
(238.65 KB, 下载次数: 5)
217.jpg
(112.44 KB, 下载次数: 5)
216.jpg
(118.46 KB, 下载次数: 4)
215.jpg
(121.63 KB, 下载次数: 4)
2142.jpg
(172.99 KB, 下载次数: 4)
2141.jpg
(63.94 KB, 下载次数: 5)
213.jpg
(172.09 KB, 下载次数: 5)
212.jpg
(28.64 KB, 下载次数: 3)
211.jpg
(27.96 KB, 下载次数: 5)
210.jpg
(8.54 KB, 下载次数: 4)
查看全部评分
发帖前要善用【论坛搜索 】 功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
[复制链接]
发表于 2015-11-22 11:46
|
发表于 2015-11-23 14:49
|楼主
收藏
淘帖
有用
分享到朋友圈
