超基础小白教程 PDF合并器逆向追踪注册码~~~

845xyz

起因：前不久看到有帖子发“PDF合并器爆破图文教程，适合小白练手~~ ”，这是使用了NOP法解决关键跳。但在后面发现有位同学说可不可以弄个找注册码的，正好自己也在吾爱摸爬滚打这么久了那就试试看（自己也是个初学者，来吾爱可以说许久了，半年前钞能力转正hhh），于是一拖再拖，终于前天试了下，没想到程序并不难，很适合初学者

起因1

原帖地址：https://www.52pojie.cn/thread-881635-1-1.html
————————————————————————————————————————————————————————————————————————————————————————————
正文：
首先课件：http://www.1xg.com.cn/pdfhbq.exe






零、最开始自然是看看程序是否有壳！（当然从前面的帖子已经得知软件无壳 是个无壳VB程序）


一、接着我们就可以打开程序看看软件的注册方式，以决定我们逆向的方式。

弹出了个文本框要求我们输入注册码 当然还弹出了个网站叫我们支付99RMB购买软件

输入假注册码，可以看到弹出错误注册码 并自动关闭软件 所以本软件不是个重启验证的程序。并可以看到关键词“错误的注册码”以及“注册码”

二、二话不说进OD
Tip：注意OD打开对象尽量是原程序不是快捷方式以防出错。
右键我们的反汇编窗口搜索关键词“错误的”     


在搜索窗口 右键Find（Ctrl+f）查找关键词

成功找到我们需要的字符串关键词！ 双击左键进入该段语句处

注：为什么我这边搜的是“错误的”，而不是“错误的注册码”，是为了防止出现字符串断层，字符串不在同一行代码上，所以当你搜不到字符串的时候，可以适当减短关键词的长度！

三、注册码追踪

到跳转开始语段

发现三个点
0.是个jnz类型跳转 若不相等则跳转
1.是个cmp比较语句 但不清楚是不是注册码的比较（运行到这片语段可以确定不是后面会讲！）
2.发现个大跳转是个回跳异常可疑！  于是为了保证找到注册码适当扩大搜索面积 看看这个回跳跳转到的地方

3-1 是跳转至上图的2上面一句
、
最左侧地址变红即为下端成功！

好运行程序！

同上输入我们的假码 N个1

点确定后程序卡住了 说明程序以执行到断点处！
F8单步向下 慢慢走！！！    仔细观察寄存器窗口跟堆栈窗口防止遗漏重要的内容！

特别标注上图忘了说 这边也要注意：

出现个可以值 不管三七二十一先右键复制到剪切板复制出来 待会留着用（经后面试验得知这个不是注册码）

这次重点来了！！
发现可以值很像注册码，右键复制到剪切板 继续往下看看！

出现了我们的假码！！！
为什么我要大写说明这边很重要！ 看到假码说明我们离真的注册码很近通常则需要开始对比两个值了！
同时我们也看到假码下面那个可疑码
把他复制出来
0019E2E0   00790D04  UNICODE "COM873416588611047"

接下来我们会发现单步f8 会无穷循环于这个语段永远出不去 那是因为你没进call这个函数段 call的意思是调用函数
用f7进入call      又是一个call那么就不管了直接f9（f8你会发现你还是在死循环里 因为你跳过了很多call！所以程序一直回跳）
因为我们已经找到了类注册码

4、重启软件并注册
重启程序输入0019E2E0   00790D04  UNICODE "COM873416588611047"中的类注册码：COM873416588611047
ok！！！大功告成！！！

于是乎软件即可正常使用了！！ 注册码为：COM873416588611047
经测验这是个通用注册码所以大家可以在任何机器上下正版软件注册
——————————————————————————————————————————————————————————————————————————
最后一步、希望各位老爷给点热心值 这是我出教程的动力源泉o！

845xyz

Chost 发表于 2019-4-8 18:58
這句話是什麽意思

還有個問題，有這麽多jnz，cmp，jmp，怎麽知道在哪裏下斷點呐

1.感谢看我的教程 图片似乎传输的时候出了点问题导致图片没传上去 已重做补上了
2.这么多的跳转 你要记住一句 机器是傻的 除非出现特殊情况 否则是一行一行往下执行的 你只需一行行往上看 遇到第一个跳转一般都是关键跳 当然个别短距离跳转并非关键跳则需你自行判断了 逆向路漫漫 同行加油！

845xyz

linux0ne 发表于 2019-4-5 11:37
这个可以啊，很好的教程，所用到的工具是否可以发上来？

查壳工具 PEID https://down.52pojie.cn/Tools/PEtools/PEiD%200.95.zip
逆向工具OD https://down.52pojie.cn/Tools/De ... E7%89%88Ollydbg.rar
都是爱盘上有的

Deteriorator

这是找注册码？

845xyz

Deteriorator 发表于 2019-4-4 21:54
这是找注册码？

不好意思出到一半点了ctrl+回车就自动发了 今晚前出好 谢谢评论！

颜宇轩

这个PDF合并器并不好，不图片和word、PDF混合合并，求大佬们推荐一款支持混合PDF合并软件

chengpiaopiao

关注中，同求推荐好用的PDF合并软件。

keyyan

看到一半就错误的  不错不错  支持了！！！

fushide2012

不错不错  支持了！！！

lyghost

不错，很基础的东西

845xyz

keyyan 发表于 2019-4-4 22:55
看到一半就错误的  不错不错  支持了！！！

大佬错误是指哪 我其实就是个刚刚起步的小白

rangerdeng

学习了！！支持楼主！