本帖最后由 Rosen 于 2014-7-12 17:52 编辑
【软件名称】:仿QQ截图工具 【加壳方式】:Microsoft VisualC++ 6.0 [Overlay] 【使用工具】:OD 【操作平台】:WIN7 【下载地址】:http://yunpan.cn/QhTaf7ZCdL42M(提取码:c691)(压缩包内包含全文DOC) 【作者声明】:小菜帖,做个记录 【查毒信息】:http://r.virscan.org/report/44da4b32a04424fd4086382b8d22277d.html
提交错误的注册码有消息框提示 载入OD试试搜索字符串“错误的注册码”,结果什么都没有 现在有两种途径继续: 1. F12暂停 2. 既然有消息框提示,可以直接使用API断点 下面使用方法一 F9运行 =》 输入错码出现提示框 =》 F12暂停 =》 Alt+K =》 我们来到 在此行F2下断,然后运行程序在此处停下
往上找,发现没有可以跳过这个CALL的跳转,说明我们在子CALL里面,那我们F8走下去
往上找之后 把这个跳转NOP掉之后,复制修改至程序,保存 运行程序,注册 成功了!吗?
我们发现,程序的限制并没有解除 这样和没注册没啥区别,说明未成功
【想一想】一般条件跳转上面的CALL是关键CALL,也就是说条件跳转是否发生跳转,是由跳转上面的CALL直接或间接决定的
那我们在关键CALL处下断 F7步入,F8单步往下走,出现读取文件和假码
1.说明这是一个有重启验证的程序 2.出现假码,说明在关键CALL里面,有真码和假码的比较,追码可以在这里追
一直到出CALL 注意:这个时候寄存器里EAX的值为0 F8单步,跳转实现了 则:EAX的值为0时,JE跳 EAX的值为1时,JE不跳 那我们就进入关键CALL里,直接在段首修改 复制修改至程序,保存
运行程序
附:和我一样的新手可以试试自己追码
2014-02-07
| 
[复制链接]
发表于 2014-2-7 19:38
|
发表于 2014-7-12 17:53
