好友
阅读权限10
听众
最后登录1970-1-1
|
本帖最后由 joesth 于 2010-8-6 03:39 编辑
本人学习破解不是很久,这是我第一发贴分享我的破解经过,资源都来源于吾爱,希望新手的我们能很好的利用这个平台。
进入主题
先用PEID 查壳
![H[]LZX@RQ$~9G)2GT2X(252.jpg](https://attach.52pojie.cn/forum/month_1008/10080502579a0ff0d7756e8a92.jpg "H[]LZX@RQ$~9G)2GT2X(252.jpg")
是ASP的
脱壳是用小生我怕怕工具包里面的脱壳机完成的
打开 可以运行 用OD载入后 点击 购买
输入用户名 joesth 密码1234567890
点注册验证
没有错误提示,点确定后关闭程序,应该是重启验证类型的。
从‘未购买’入手,查找字符串
超级字串参考, 条目 465
地址=004BC939
反汇编=mov edx,unpacked.004BCA8C
文本字串= - 未购买用户
双击之后 往上找到程序头下好断点,然后重新运行程序(CRTL+F2)在F9运行 然后F8一直下来 走下面的时候你就会发现
原来在读取注册表Software\engydt的内容,那里面就是我上次注册时输入的用户名和注册码。一路F8下面就提取了我们的假码和机器码
下面就是关键啦
004BC8A0 |. BA 40CA4B00 mov edx,unpacked.004BCA40 ; Software\engydt
004BC8A5 |. 8BC3 mov eax,ebx
004BC8A7 |. E8 2C81FAFF call unpacked.004649D8
004BC8AC |. 8D4D FC lea ecx,[local.1]
004BC8AF |. BA 58CA4B00 mov edx,unpacked.004BCA58 ; RegUser
004BC8B4 |. 8BC3 mov eax,ebx
004BC8B6 |. E8 E582FAFF call unpacked.00464BA0
004BC8BB |. 8B55 FC mov edx,[local.1]
004BC8BE |. B8 C0214C00 mov eax,unpacked.004C21C0
004BC8C3 |. E8 947CF4FF call unpacked.0040455C
004BC8C8 |. 8D4D F8 lea ecx,[local.2]
004BC8CB |. BA 68CA4B00 mov edx,unpacked.004BCA68 ; RegNo
004BC8D0 |. 8BC3 mov eax,ebx
004BC8D2 |. E8 C982FAFF call unpacked.00464BA0 ; 提取假码
004BC8D7 |. 8B45 F8 mov eax,[local.2]
004BC8DA |. 50 push eax
004BC8DB |. 8D45 EC lea eax,[local.5]
004BC8DE |. E8 0995FFFF call unpacked.004B5DEC
004BC8E3 |. 8B4D EC mov ecx,[local.5]
004BC8E6 |. 8D45 F0 lea eax,[local.4] ; 机器码
004BC8E9 |. 8B15 C0214C00 mov edx,dword ptr ds:[4C21C0]
004BC8EF |. E8 187FF4FF call unpacked.0040480C
004BC8F4 |. 8B45 F0 mov eax,[local.4]
004BC8F7 |. 8D4D F4 lea ecx,[local.3]
004BC8FA |. BA 78CA4B00 mov edx,unpacked.004BCA78 ; engydtChina
004BC8FF |. E8 C890FFFF call unpacked.004B59CC
004BC904 |. 8B55 F4 mov edx,[local.3]
004BC907 |. 58 pop eax
004BC908 |. E8 F77FF4FF call unpacked.00404904
004BC90D |. 75 07 jnz short unpacked.004BC916
004BC90F |. C605 BC214C00>mov byte ptr ds:[4C21BC],1
004BC916 |> 8BC3 mov eax,ebx
004BC918 |. E8 5F6EF4FF call unpacked.0040377C ; 比较真假码
004BC91D |. 803D BC214C00>cmp byte ptr ds:[4C21BC],0
004BC924 75 27 jnz short unpacked.004BC94D ; 关键跳
004BC926 |. 8D55 E8 lea edx,[local.6]
004BC929 |. 8B9E F0020000 mov ebx,dword ptr ds:[esi+2F0]
004BC92F |. 8BC3 mov eax,ebx
004BC931 |. E8 5EEDFEFF call unpacked.004AB694
004BC936 |. 8D45 E8 lea eax,[local.6]
004BC939 |. BA 8CCA4B00 mov edx,unpacked.004BCA8C ; - 未购买用户
004BC93E |. E8 857EF4FF call unpacked.004047C8
004BC943 |. 8B55 E8 mov edx,[local.6]
004BC946 |. 8BC3 mov eax,ebx
004BC948 |. E8 DBF9FEFF call unpacked.004AC328
在看堆栈窗口
0012FDC4 00B1DDDC ASCII "AFE9FBFFHKA214AJCEY35E"
0012FDC8 00B1CB1C ASCII "joesthAFE9FBFFHKA214AJCEY35E"
0012FDCC 00B1DE38 ASCII "095BF16428561C9C8573E80226B1E7389A73CC0189441079AA4A7A5F581F35FC"
0012FDD0 00B1CACC ASCII "1234567890"
0012FDD4 00B1CAB8 ASCII "joesth"
惊喜发现
那个095BF16428561C9C8573E80226B1E7389A73CC0189441079AA4A7A5F581F35FC 就根据用户名和机器码算出的真验证码
复制后在点注册在运行程序 提示已注册给joesth
很简单是不是。处女发帖。原程序可以http://www.haote.com/soft/11479.html下载。
开始图片编辑有点问题 不好意思 大家原谅下啊 |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2010-8-4 17:04
|
发表于 2010-8-4 17:40
