U盘杀毒专家V3.21（XXKiller）追码+内存注册机编写

醉生梦死.

第一步：下载安装U盘杀毒专家（地址：http://www.upanshadu.com/）
第二步：找到安装目录下的U盘杀毒专家（USBKiller），将其拖入PEID进行查壳。

从上图可以看出，此软件加的是UPX的壳。利用ESP定律脱掉！这里为了简化操作，直接使用UPXTOOL进行脱壳。
第三步：将U盘杀毒专家（USBKiller）拖入到UPXTOOL。

选择解压缩之后，点击开始！
脱壳完成，文件大小发生变化。

经过再次查壳，PEID显示软件采用Borland Delphi 6.0 - 7.0 编写，即无壳！

第四步：将脱壳后的程序载入OD。

第五步：在OD反编译窗口右键，选择中文搜索引擎，智能搜索。

第六步：右键Find（查找）

第七步：在查找一栏输入：注册

第八步：按下键盘上的B键，来到 已注册，双击进入！来到下图。

第九步：在已注册的上方有个jl跳转，再往上找，找到下图。在关键CALL处按F2下段。

第十步：F9运行程序。成功断下。

第十一步：好了，既然断下了，这就证明我们的判断没错。F2取消此处断点。F7进入CALL，看看里面的世界。(其实上面可以直接略过，因为我们不知道是不是关键CALL，所以下断。)

第十二步：进入了CALL的内部。已经出现咱们的机器码了。（在此之前，我打开软件看了。）

第十三步：F8单步跟踪。注意这里有个往上的跳转。我们在其下方按下F4。让它运行到那。然后我们就可以继续F8单步了。

第十四步：继续单步以后，我们看到了疑似注册码的东西。

第十五步：先将上面疑似注册码的东西复制下来，继续单步。看看还有没有发现。寄存器也出现了上图疑似注册码的东西。

第十六步：F8继续单步。发现堆栈也出现了和上图一样疑似注册码的东西。

从上面的图片可以看出，那一串应该就是注册码了。我们来试试。
第十七步：输入复制出来的注册码，粘贴进去。嗯，果然，注册成功!

编写注册机
第一步：打开注册机编写工具，选择其它-内存注册机


第二步：点击浏览，找到安装目录下的USBKiller.exe。


第三步：点击添加，弹出添加数据输入框。


第四步：根据上面步骤中得到的真码出现地址，依次填写到中断地址，中断次数，指令长度。另外，在保存下列信息为注册码前面打钩，下面选择内存方式，寄存器选择EAX。输入完之后，点击添加。

第五步：设置注册机信息。然后点击确定。


第六步：点击右下角的生成。界面外观随便选择。保存到桌面。

第七步：将生成之后的注册机放入安装程序的根目录下，双击运行，会自动打开要破解的程序。




第八步：将弹出的注册码复制下来，即可关闭注册机。

第九步：我们将复制下来的注册码粘贴到注册窗口输入框里。点击确定。

第十步：OK，注册成功！



结语：对于注册机，我这个写法应该是不正确的。因为看到论坛大神的注册机，是需要输入假码的，然后弹出真码。为什么我的会这样？
          如果大神看到此贴，麻烦给个回复。。。毕竟小弟第一次照葫芦画瓢写出的注册机。。。谢谢了！

另外：注册机我也传上来，欢迎有兴趣的朋友进行测试！注意：注册机报毒！（没加壳，请问大神如何解决？谢谢）

欢迎大神批评指正本帖中的不足、错误之处，小弟在此谢过！！

USBKillerV3.21内存注册机.rar (14.35 KB, 下载次数: 9424)

2016-8-17 09:46 上传

点击文件名下载附件
欢迎测试！
下载积分: 吾爱币 -1 CB

kml

楼主辛苦了

q59541511

那个位置也可以爆破
00577A10  |.  2C 01         sub al,0x1                               ;  Switch (cases 0..3)
00577A12  |.  72 0D         jb short USBKille.00577A21               ;  改成jmp跳过
00577A14  |.  2C 02         sub al,0x2
00577A16  |.  0F84 B5000000 je USBKille.00577AD1
00577A1C  |.  E9 DC000000   jmp USBKille.00577AFD
00577A21  |>  8B83 1C040000 mov eax,dword ptr ds:[ebx+0x41C]         ;  Case 0 of switch 00577A10
00577A27  |.  E8 18F4EDFF   call USBKille.00456E44
00577A2C  |.  8BF8          mov edi,eax
00577A2E  |.  4F            dec edi
00577A2F  |.  85FF          test edi,edi
00577A31  |.  7C 23         jl short USBKille.00577A56               ;  改jmp
00577A33  |.  47            inc edi
00577A34  |.  C745 F8 00000>mov [local.2],0x0

勇者为王

精彩，给楼主点个赞！

逆天昊龙

楼主辛苦了

cunzher

很棒，楼主码字辛苦了

mrqingzhuang

66666  玩玩

zrff

这个有点用啊....

庸世俗人罢勒

教程不错，楼主辛苦了！

wuhua2009

写的很好，给楼主点个赞！

kst

感谢分享。