运用KeyMake制作内存注册机

8091956

运行环境：WinXP_52Pojie
工具：OllyDbg, KeyMake V2.0 修改版
破解对象：某坛友发了一个nts8000到脱壳破解区求破，我在那个帖子被删前刚好下载了，就试了一下
步骤：OD载入MakeReg.exe--> 查找字符串，找到关键call--> 发现是明码比较，决定制作内存注册机--> 使用KeyMake制作内存注册机

下载下来，发现MakeReg.exe就是注册程序。

打开后输入假码如图：

用peid查壳发现无壳，直接载入OD，搜索中文字符串，字符串很少：

点进去就是关键call，在关键跳上方发现字符串比较函数，猜测是明码比较：

在00401BE1处下断点，按F9运行程序，输入假码，程序中断在00401BE1，先查看寄存器窗口，分别在ecx和edx的数值上右键，选择堆栈窗口跟随，再查看堆栈窗口，发现ecx存放的是指向真码指针的指针，edx存放的是指向假码的指针的指针，如图：


现在就可以直接制作内存注册机了，首先打开KeyMake，按快捷键F8，进入内存注册机制作页面，选择将要制作注册机的文件，我这里就是MakeReg.exe：

点击添加，配置如图，因为ecx存放的是指向真码的指针的指针，所以要勾选地址指针，层数为1：

点击添加，然后生成注册机到目标文件所在的文件夹。

打开注册机，点击注册后，真码出现，结果如下：


最后，附上MakeReg.exe给各位练手，在Win10下请在WinXP兼容模式下打开。
链接：https://www.lanzouj.com/i306mja

8091956

mistyang 发表于 2019-1-28 10:03
在00401BE1处下断点，运行程序，输入假码，程序中断，查看堆栈窗口   请问楼主，这几部怎么操作，没找到呢 ...

这一部分已经更新

mistyang

在00401BE1处下断点，运行程序，输入假码，程序中断，查看堆栈窗口   请问楼主，这几部怎么操作，没找到呢？

约定的童话

高手在民间啊，能提供文件链接学习下吗？

tiannu

跟着学习中了

yryinrui

感谢楼主分享！

贱包子

好久不搞这种了。。。都不会了

dayer

感谢楼主分享

Windows10

很经典的

ZY新势力

支持一下

q01081122

谢谢分享

XXTK

跟着练习一下，内存注册机没有做过