首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[分享]GIF软件逆向+注册代码+补丁
发表于: 2014-9-10 23:31 19899

[分享]GIF软件逆向+注册代码+补丁

苏北小麦 活跃值
2
2014-9-10 23:31
19899

GIF Movie Gear逆向+注册代码+补丁
1.        准备
逆向已经被前辈们搞烂了,我这里发个前段时间写的,感觉润色的可以了。有不足之处,还望大虾指出。
我是在windows 8.1 x64上进行的操作。

1.1.        获取资源
网站下载:90fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3N6S2L8h3q4F1K9g2)9J5k6h3y4G2L8g2)9J5c8X3N6E0k6$3c8G2N6$3&6Q4x3X3g2Z5N6r3#2Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4z5f1u0Q4b7V1c8Q4c8e0g2Q4z5o6k6Q4z5o6g2Q4c8e0N6Q4b7f1u0Q4z5e0W2Q4c8e0N6Q4z5o6u0Q4b7U0W2Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0k6Q4b7U0q4Q4z5o6W2Q4c8e0g2Q4z5p5y4Q4z5e0k6Q4c8e0N6Q4b7e0m8Q4b7U0c8Q4c8e0S2Q4b7e0N6Q4b7e0y4Q4c8e0g2Q4b7e0g2Q4b7V1c8Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0y4Q4z5o6m8Q4z5o6t1`.
GIF Movie Gear4.2.3是一款GIF动画制作软件,几乎有需要 制作GIF动画的编辑功能它都有,无须再用其它的图型软件辅助。GIF Movie Gear可以处理背景透明化而且做法容易,做好的图片可以做最佳化处理使图片减肥,另外它除了可 以把做好的图片存成GIF的动画图外,还可支援PSD,JPEG,AVI,BMP,GIF,与AVI格式输出。

1.2.        受限预先查看

1.3.        运行
确实受限了,其实在推出时也恼人,弹窗不然直接退出要等下出现个按钮,点ok关闭。

1.4.        查看pe信息
貌似没有欺骗我们,没加壳


1.5.        找看看有无注册窗口Version 4.2.3


2.        定位
2.1.        程序要判断注册的对不对,首先获取输入值。
回到od,查找一些符号,这里找GetDlgItemText或者GetWindowText,这里直接找GetWindowText(因为GetDlgItemText=GetDlgItem+GetWindowText,没有找到也没关系(如LoadLibary),直接到User2.dll模块找)并且是ASCII版的。方便点的有cmdBar插件直接入下图方式下断。

2.2.        回到界面点ok按钮,断点起作用了,和预想的一样。
看看堆栈,或者直接Alt+F9执行到程序模块。


可以看到两次调用GetWindowTextA,后面一个call,入参是EDX和ECX,来自于获取到编辑框里的值的缓冲区[LOCAL.49]和[LOCAL.24]。控件1103是Name,1104是Code。
后面还有一个根据返回值来jz的,并且有创建注册表项的字符串。这也太明显了,太快了,怎么这个就不设防。。。

注册信息保存在注册表HKEY_LOCAL_MACHINE \Software\gamani\GIFMovieGear\2.0下的两个键SubKey = "RegName3"和SubKey = "RegCode3" ,过期时间来自HKLM\SOFTWARE\Wow6432Node\Loani\MG4\stamp,保存的是秒数。
new Date(0x540b1713 * 1000) = Sat Jan 17 1970 15:40:12 GMT+0800 (China Standard Time)
需要注意x64位,这里的调用,注册表会被重定向:
3:29:05.3795926 PM        movgear.exe        5756        RegQueryValue        HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\gamani\GIFMovieGear\2.0\RegName3        SUCCESS        Type: REG_SZ, Length: 10, Data: 苏北小麦
3:29:06.8898693 AM        movgear.exe        4380        RegQueryValue        HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\gamani\GIFMovieGear\2.0\RegCode3        SUCCESS        Type: REG_SZ, Length: 26, Data: mg37sfhh4045
3:29:53.9921742 AM        movgear.exe        4380        RegQueryValue        HKLM\SOFTWARE\Wow6432Node\Loani\MG4\stamp        SUCCESS        Type: REG_BINARY, Length: 4, Data: 13 17 0B 54

2.3.        注册获取窗口信息


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 3
支持
分享
最新回复 (12)
xouou
雪    币: 90
活跃值: (91)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
感谢分享,版区有你更精彩!
2014-9-10 23:33
0
苏北小麦
雪    币: 338
活跃值: (91)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
私信
3
文字和图片比较多,提交几次才成功,最下面有好排版的doc文档,或者这里。
内嵌补丁没有考虑只有验证和没有再次打开测试,有错,修改后文档。。
GIF Movie Gear破解记录(含程序).doc
上传的附件:
2014-9-10 23:51
0
qqlinhai
雪    币: 114
活跃值: (180)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
很不错,美中不足的是排版有些问题,不过还是强烈支持~
2014-9-11 01:08
0
xJJuno
雪    币: 14278
活跃值: (5301)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
图片没有在相应位置 下载DOC看好了、。
2014-9-11 01:16
0
wkxq
雪    币: 96
活跃值: (44)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
强烈支持
2014-9-11 08:04
0
appview
雪    币: 1621
活跃值: (5229)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
7
很详细,顶下老乡
2014-9-11 08:58
0
SnowRen
雪    币: 17075
活跃值: (5267)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
分的精彩,学习了
2014-9-11 09:20
0
waylayer
雪    币: 4515
活跃值: (2002)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
很详细  谢谢分享
2014-9-11 12:33
0
揰掵佲
雪    币: 4281
活跃值: (2710)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
10
来看看。~
2014-9-11 13:30
0
<<Lanneret
雪    币: 162
活跃值: (63)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
11
这个真详细,赞一个。
2014-9-12 10:56
0
靜夜星痕
雪    币: 100
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
很详细  谢谢LZ分享
2014-9-12 11:07
0
飘云
雪    币: 2443
活跃值: (649)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
13
贴图辛苦!超赞!
2014-9-12 11:47
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回