好友
阅读权限10
听众
最后登录1970-1-1
|
本帖最后由 allcam 于 2013-9-29 08:25 编辑
最近接到一硬盘数据恢复的小活 在网上找了很久也试用了几款恢复软件效果不是很理想后来发现超级硬盘数据恢复软件2.7.1.5效果很不错但是有病毒害得我感染了很多文件气愤之下决定自己分析这个软件经过反复分析发现这个软件是以ThemIDA v2.1.x.x这个壳加密的4位4组SuperRecovery2.7.2.6注册码这个版本是最后一个接下来的版本就成了4位五组机器码的了---由于没有正确的机器码和注册码暂时还不能破解最新的4.2.1.0那位同学能提供一个最好了在这里先谢了!
好了下面试分析代码--“大牛飘过这里都是不经踩的小草”
2.7.2.6
00437173 . FF52 04 call dword ptr ds:[edx+0x4]
00437176 > 8BC7 mov eax,edi
00437178 . F76424 14 mul dword ptr ss:[esp+0x14]
0043717C 35 952E5C37 xor eax,0x375C2E95----------------------这里PATH机器码
00437181 . 894424 24 mov dword ptr ss:[esp+0x24],eax
00437185 . 81F2 802AD618 xor edx,0x18D62A80----------------------这里PATH机器码
0043718B . 8D4424 24 lea eax,dword ptr ss:[esp+0x24]
0043718F . 33ED xor ebp,ebp
00437191 . 2D 1F0F0000 sub eax,0xF1F
这样就可以注册了用一个正确的注册码就可以成功注册
---------------------------------------------------------------------------------------------
源代码0043717C 81F2 802AD618 xor edx,0x18D62A8
--------------------------------------------------------- 特征码---35 95 2E 5C 37 ?? ?? ?? ?? ?? F2 80 2A D6 18
改代码0043717C BA D7514606 mov edx,0x64651D7
---------------------------------------------------------
以下是绿色版修改代码在适当时间我会放出load的现在先给个注册版的
2.7.2.6
004328B9 68 98174D00 push SuperRec.004D1798 ; SOFTWARE\SuperRecovery
004328BE 68 01000080 push 0x80000001
004328C3 895C24 48 mov dword ptr ss:[esp+0x48],ebx
004328C7 895C24 34 mov dword ptr ss:[esp+0x34],ebx
004328CB E8 30D7D602 call 031A0000
004328D0 90 nop
004328D1 3BC3 cmp eax,ebx
004328D3 75 08 jnz short SuperRec.004328DD-----------------------nop掉
004328D5 8B6C24 10 mov ebp,dword ptr ss:[esp+0x10]
004328D9 896C24 14 mov dword ptr ss:[esp+0x14],ebp
004328DD 8BBE DCBA0200 mov edi,dword ptr ds:[esi+0x2BADC]
004328E3 57 push edi
004328E4 E8 8BE28B02 call 02CF0B74
004328E9 90 nop------004328E9 E9 13E40B00 jmp SuperRec.004F0D01-----跳向补码
004328EA 8D5400 02 lea edx,dword ptr ds:[eax+eax+0x2]
004328EE 52 push edx---------------------------------返回到这里
004328EF 57 push edi
004328F0 6A 01 push 0x1
004328F2 53 push ebx
004328F3 68 90174D00 push SuperRec.004D1790 ; stn
-----------------------------------------------------------------------------------
补码--------2.7.2.6
0043852F |. 8D8424 88000000 lea eax,dword ptr ss:[esp+0x88]
---------------------------------------------------------------------------
00438514 |. 52 push edx
00438515 |. 68 90174D00 push SuperRec.004D1790 ; stn
0043851A |. 8D4C24 18 lea ecx,dword ptr ss:[esp+0x18]
0043851E |. 895C24 18 mov dword ptr ss:[esp+0x18],ebx
00438522 |. C74424 1C 00080000 mov dword ptr ss:[esp+0x1C],0x800
0043852A |. E8 A196FFFF call SuperRec.00431BD0
0043852F |. 8D8424 88000000 lea eax,dword ptr ss:[esp+0x88]-------跳向补码地方--这句被NOP掉 回跳前补上---004F0D01
00438536 |. 50 push eax------------------------------回跳到这里PATH注册码
00438537 |. E8 79A30600 call SuperRec.004A28B5
0043853C |. 83C4 04 add esp,0x4
0043853F |. 50 push eax
00438540 |. 8D8C24 8C000000 lea ecx,dword ptr ss:[esp+0x8C]
00438547 |. 51 push ecx
00438548 |. 8D4C24 1C lea ecx,dword ptr ss:[esp+0x1C]
0043854C |. E8 3FBCFCFF call SuperRec.00404190
00438551 |. 85DB test ebx,ebx
00438553 |. 74 0D je short SuperRec.00438562
---------------------------------------------------------------------------------------
0043852F /E9 CD870B00 jmp SuperRec.004F0D01------------------已修改代码
00438534 |90 nop
00438536 |. |50 push eax
------------------------------------------------------------------------------
loader.rar
(452.73 KB, 下载次数: 5317)
----完整版绿色LOAD
安装文件在这里http://pan.baidu.com/s/1opqaW
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
发表于 2013-9-19 09:04
|
发表于 2013-9-19 09:58
