[求助]这个程序如何破网络验证?!1-经典问答-看雪-安全社区|安全招聘|kanxue.com

[求助]这个程序如何破网络验证?!1

发表于: 2008-12-6 13:21 3791

[求助]这个程序如何破网络验证?!1

crazy丶Lan

2008-12-6 13:21

3791

00401000 >/$  E8 06000000 call 0040100B
00401005  |.  50          push eax
00401006  |?  E8 BB010000 call 004011C6                      ;  jmp 到 kernel32.ExitProcess
0040100B    55          push ebp
0040100C    8BEC       mov    ebp, esp
0040100E    81          db    81
0040100F    C4          db    C4
00401010    F0          db    F0
00401011    FE          db    FE
00401012    FF          db    FF
00401013    FF          db    FF
00401014    E9          db    E9
00401015    83          db    83
00401016    00          db    00
00401017    00          db    00
00401018    00          db    00
00401019    6B          db    6B                            ;  CHAR 'k'
0040101A    72          db    72                            ;  CHAR 'r'
0040101B    6E          db    6E                            ;  CHAR 'n'
0040101C    6C          db    6C                            ;  CHAR 'l'
0040101D    6E          db    6E                            ;  CHAR 'n'
0040101E    2E          db    2E                            ;  CHAR '.'
0040101F    66          db    66                            ;  CHAR 'f'
00401020    6E          db    6E                            ;  CHAR 'n'
00401021    72          db    72                            ;  CHAR 'r'
00401022    00          db    00
00401023    6B          db    6B                            ;  CHAR 'k'
00401024    72          db    72                            ;  CHAR 'r'
00401025    6E          db    6E                            ;  CHAR 'n'
00401026    6C          db    6C                            ;  CHAR 'l'
00401027    6E          db    6E                            ;  CHAR 'n'
00401028    2E          db    2E                            ;  CHAR '.'
00401029    66          db    66                            ;  CHAR 'f'
0040102A .  6E          outs dx, byte ptr es:[edi]
0040102B ?  65:0047 65 add    byte ptr gs:[edi+65], al
0040102F    74          db    74                            ;  CHAR 't'
00401030    4E          db    4E                            ;  CHAR 'N'
00401031    65          db    65                            ;  CHAR 'e'
00401032    77          db    77                            ;  CHAR 'w'
00401033 .  53          push ebx
00401034 ?  6F          outs dx, dword ptr es:[edi]
00401035 .  636B 00    arpl word ptr [ebx], bp
00401038 ?  53          push ebx
00401039 >  6F          outs dx, dword ptr es:[edi]
0040103A .- 66:74 77    je    short 000010B4
0040103D ?  61          popad
0040103E ?  72 65       jb    short 004010A5
00401040 ?  5C          pop    esp
00401041 ?  46          inc    esi
00401042 .  6C          ins    byte ptr es:[edi], dx
00401043 ?  79 53       jns    short 00401098
00401045 ?  6B79 5C 45 imul edi, dword ptr [ecx+5C], 45
00401049 .  5C          pop    esp
0040104A .  49          dec    ecx
0040104B ?  6E          outs dx, byte ptr es:[edi]
0040104C    73          db    73                            ;  CHAR 's'
0040104D    74          db    74                            ;  CHAR 't'
0040104E    61          db    61                            ;  CHAR 'a'
0040104F    6C          db    6C                            ;  CHAR 'l'
00401050    6C          db    6C                            ;  CHAR 'l'
00401051    00          db    00
00401052    50          db    50                            ;  CHAR 'P'
00401053    61          db    61                            ;  CHAR 'a'
00401054    74          db    74                            ;  CHAR 't'
00401055    68          db    68                            ;  CHAR 'h'
00401056    00          db    00
00401057    B3          db    B3
00401058    CC          db    CC
00401059    D0          db    D0
0040105A    F2          db    F2
0040105B    C3          db    C3
0040105C    BB          db    BB
0040105D    D3          db    D3
0040105E    D0          db    D0
0040105F    D4          db    D4
00401060    CB          db    CB
00401061    D0          db    D0
00401062    D0          db    D0
00401063    BA          db    BA
00401064    CB          db    CB
00401065    D0          db    D0
00401066    C4          db    C4
00401067    CE          db    CE
00401068    C4          db    C4
00401069    BC          db    BC
0040106A    FE          db    FE
0040106B >  BB F2BACBD0 mov    ebx, D0CBBAF2
00401070    C4          db    C4
00401071    CE          db    CE
00401072    C4          db    C4
00401073    BC          db    BC
00401074    FE          db    FE
00401075    CA          db    CA
00401076    C7          db    C7
00401077 .  CE          into
00401078 .  DED0       ficom eax                            ;  非法使用寄存器
0040107A .  A7          cmps dword ptr [esi], dword ptr es:[e>
0040107B .  B5 C4       mov    ch, 0C4
0040107D ?  2C C7       sub    al, 0C7
0040107F    EB          db    EB
00401080    BC          db    BC
00401081    EC          db    EC
00401082    B2          db    B2
00401083    E9          db    E9
00401084    B3          db    B3
00401085    CC          db    CC
00401086    D0          db    D0
00401087    F2          db    F2
00401088    CE          into
00401089    C4          db    C4
0040108A    BC          db    BC
0040108B    FE          db    FE
0040108C    CA          db    CA
0040108D    C7          db    C7
0040108E    B7          db    B7
0040108F    F1          db    F1
00401090    B6          db    B6
00401091    AA          db    AA
00401092    CA          db    CA
00401093    A7          db    A7
00401094    21          db    21                            ;  CHAR '!'
00401095    00          db    00
00401096    B4          db    B4
00401097    ED          db    ED
00401098    CE          db    CE
00401099    F3          db    F3
0040109A    3A          db    3A                            ;  CHAR ':'
0040109B    00          db    00
0040109C    8D          db    8D
0040109D    85          db    85
0040109E    FC          db    FC
0040109F    FE          db    FE
004010A0    FF          db    FF
004010A1    FF          db    FF
004010A2    50          db    50                            ;  CHAR 'P'
004010A3    E8          db    E8
004010A4    44          db    44                            ;  CHAR 'D'
004010A5    0100       add    dword ptr [eax], eax
004010A7    00          db    00
004010A8    68          db    68                            ;  CHAR 'h'
004010A9    19          db    19
004010AA    10          db    10
004010AB    40          db    40                            ;  CHAR '@'
004010AC    00          db    00
004010AD    8D          db    8D
004010AE    85          db    85
004010AF    FC          db    FC
004010B0    FE          db    FE
004010B1    FF          db    FF
004010B2    FF          db    FF
004010B3    50          db    50                            ;  CHAR 'P'
004010B4    E8          db    E8
004010B5    25          db    25                            ;  CHAR '%'
004010B6    01          db    01
004010B7    00          db    00
004010B8    00          db    00
004010B9    50          db    50                            ;  CHAR 'P'
004010BA .  E8 19010000 call 004011D8                      ;  jmp 到 kernel32.LoadLibraryA
004010BF    85          db    85
004010C0    C0          db    C0
004010C1    0F          db    0F
004010C2    85          db    85
004010C3    9E          db    9E
004010C4    00          db    00
004010C5    00          db    00
004010C6    00          db    00
004010C7    8D          db    8D
004010C8    85          db    85
004010C9    F4          db    F4
004010CA    FE          db    FE
004010CB    FF          db    FF
004010CC    FF          db    FF
004010CD    50          db    50                            ;  CHAR 'P'
004010CE    68          db    68                            ;  CHAR 'h'
004010CF    19          db    19
004010D0    00          db    00
004010D1    02          db    02
004010D2    00          db    00
004010D3    6A          db    6A                            ;  CHAR 'j'
004010D4    00          db    00
004010D5    68          db    68                            ;  CHAR 'h'
004010D6    38          db    38                            ;  CHAR '8'
004010D7 .  1040 00    adc    byte ptr [eax], al
004010DA ?  68 01000080 push 80000001
004010DF .  E8 36010000 call 0040121A                      ;  jmp 到 advapi32.RegOpenKeyExA
004010E4 ?  83F8 00    cmp    eax, 0
004010E7 ?  0F85 B8000000 jnz    004011A5
004010ED    C7          db    C7
004010EE    85          db    85
004010EF    F0          db    F0
004010F0    FE          db    FE
004010F1    FF          db    FF
004010F2    FF          db    FF
004010F3    03          db    03
004010F4    01          db    01
004010F5    00          db    00
004010F6    00          db    00
004010F7    8D          db    8D
004010F8    85          db    85
004010F9    F0          db    F0
004010FA    FE          db    FE
004010FB    FF          db    FF
004010FC    FF          db    FF
004010FD    50          db    50                            ;  CHAR 'P'
004010FE    8D          db    8D
004010FF    85          db    85
00401100    FC          db    FC
00401101    FE          db    FE
00401102    FF          db    FF
00401103    FF          db    FF
00401104    50          db    50                            ;  CHAR 'P'
00401105    6A          db    6A                            ;  CHAR 'j'
00401106    00          db    00
00401107    6A          db    6A                            ;  CHAR 'j'
00401108    00          db    00
00401109    68          db    68                            ;  CHAR 'h'
0040110A    52          db    52                            ;  CHAR 'R'
0040110B    10          db    10
0040110C    40          db    40                            ;  CHAR '@'
0040110D    00          db    00
0040110E    FF          db    FF
0040110F    B5          db    B5
00401110    F4          db    F4
00401111    FE          db    FE
00401112    FF          db    FF
00401113    FF          db    FF
00401114    E8          db    E8
00401115    07          db    07
00401116    01          db    01
00401117    00          db    00
00401118    00          db    00
00401119    50          db    50                            ;  CHAR 'P'
0040111A    FF          db    FF
0040111B    B5          db    B5
0040111C    F4          db    F4
0040111D    FE          db    FE
0040111E    FF          db    FF
0040111F    FF          db    FF
00401120    E8          db    E8
00401121    EF          db    EF
00401122    00          db    00
00401123    00          db    00
00401124    00          db    00
00401125    58          db    58                            ;  CHAR 'X'
00401126    83          db    83
00401127    F8          db    F8
00401128    00          db    00
00401129    75          db    75                            ;  CHAR 'u'
0040112A    7A          db    7A                            ;  CHAR 'z'
0040112B    8D          db    8D
0040112C    85          db    85
0040112D    FC          db    FC
0040112E    FE          db    FE
0040112F    FF          db    FF
00401130    FF          db    FF
00401131    50          db    50                            ;  CHAR 'P'
00401132    E8          db    E8
00401133    AD          db    AD
00401134    00          db    00
00401135    00          db    00
00401136    00          db    00
00401137    8D          db    8D
00401138    9D          db    9D
00401139    FC          db    FC
0040113A    FE          db    FE
0040113B    FF          db    FF
0040113C    FF          db    FF
0040113D    03          db    03
0040113E    D8          db    D8
0040113F    4B          db    4B                            ;  CHAR 'K'
00401140    80          db    80
00401141    3B          db    3B                            ;  CHAR ';'
00401142    5C          db    5C                            ;  CHAR '\'
00401143    74          db    74                            ;  CHAR 't'
00401144    05          db    05
00401145    66          db    66                            ;  CHAR 'f'
00401146    C7          db    C7
00401147    03          db    03
00401148    5C          db    5C                            ;  CHAR '\'
00401149    00          db    00
0040114A    68          db    68                            ;  CHAR 'h'
0040114B    23          db    23                            ;  CHAR '#'
0040114C    10          db    10
0040114D    40          db    40                            ;  CHAR '@'
0040114E    00          db    00
0040114F    8D          db    8D
00401150    85          db    85
00401151 .  FC          db    FC
00401152 .  FE FF FF 50 E>ascii "?P鑳
0040115A    00          db    00
0040115B    50          db    50                            ;  CHAR 'P'
0040115C    E8          db    E8
0040115D    77          db    77                            ;  CHAR 'w'
0040115E    00          db    00
0040115F >  0000       add    byte ptr [eax], al
00401161 ?  85C0       test eax, eax
00401163 ?  74 40       je    short 004011A5
00401165 ?  8985 F8FEFFFF mov    dword ptr [ebp-108], eax
0040116B    68 2D104000 push 0040102D                      ;  ASCII "GetNewSock"
00401170    50          push eax
00401171    E8 5C000000 call 004011D2                      ;  jmp 到 kernel32.GetProcAddress
00401176    85C0       test eax, eax
00401178 ?  74 20       je    short 0040119A
0040117A ?  68 E8030000 push 3E8
0040117F .  FFD0       call eax
00401181 ?  85C0       test eax, eax
00401183 .  74 15       je    short 0040119A
00401185 ?  E8 00000000 call 0040118A
0040118A ?  810424 761E00>add    dword ptr [esp], 1E76
00401191 ?  FFD0       call eax
00401193 ?  6A 00       push 0
00401195    E8 2C000000 call 004011C6                      ;  jmp 到 kernel32.ExitProcess
0040119A    FF          db    FF
0040119B .  B5 F8       mov    ch, 0F8
0040119D ?  FE          ???                                     ;  未知命令
0040119E ?  FFFF       ???                                     ;  未知命令
004011A0 .  E8 27000000 call 004011CC                      ;  jmp 到 kernel32.FreeLibrary
004011A5 ?  6A 10       push 10
004011A7 ?  68 96104000 push 00401096
004011AC .  68 57104000 push 00401057
004011B1    6A          db    6A                            ;  CHAR 'j'
004011B2    00          db    00
004011B3    E8          db    E8
004011B4    08          db    08
004011B5    00          db    00
004011B6    00          db    00
004011B7    00          db    00
004011B8    B8          db    B8
004011B9    FF          db    FF
004011BA    FF          db    FF
004011BB    FF          db    FF
004011BC    FF          db    FF
004011BD    C9          db    C9
004011BE    C3          db    C3
004011BF    CC          db    CC
004011C0    FF          db    FF
004011C1    25          db    25                            ;  CHAR '%'
004011C2    30          db    30                            ;  CHAR '0'
004011C3    20          db    20                            ;  CHAR ' '
004011C4    40          db    40                            ;  CHAR '@'
004011C5    00          db    00
004011C6    FF          db    FF
004011C7    25          db    25                            ;  CHAR '%'
004011C8    1C          db    1C
004011C9    20          db    20                            ;  CHAR ' '
004011CA    40          db    40                            ;  CHAR '@'
004011CB    00          db    00
004011CC    FF          db    FF
004011CD    25          db    25                            ;  CHAR '%'
004011CE    10          db    10
004011CF    20          db    20                            ;  CHAR ' '
004011D0    40          db    40                            ;  CHAR '@'
004011D1    00          db    00
004011D2    FF          db    FF
004011D3    25          db    25                            ;  CHAR '%'
004011D4    24          db    24                            ;  CHAR '$'
004011D5    20          db    20                            ;  CHAR ' '
004011D6    40          db    40                            ;  CHAR '@'
004011D7    00          db    00
004011D8    FF          db    FF
004011D9    25          db    25                            ;  CHAR '%'
004011DA    20          db    20                            ;  CHAR ' '
004011DB    20          db    20                            ;  CHAR ' '
004011DC    40          db    40                            ;  CHAR '@'
004011DD    00          db    00
004011DE    FF          db    FF
004011DF    25          db    25                            ;  CHAR '%'
004011E0    14          db    14
004011E1    20          db    20                            ;  CHAR ' '
004011E2    40          db    40                            ;  CHAR '@'
004011E3    00          db    00
004011E4 .- FF25 28204000 jmp    dword ptr [402028]             ;  kernel32.lstrlenA
004011EA    CC          db    CC
004011EB    CC          db    CC
004011EC    55          db    55                            ;  CHAR 'U'
004011ED    8B          db    8B
004011EE    EC          db    EC
004011EF    68          db    68                            ;  CHAR 'h'
004011F0    80          db    80
004011F1    00          db    00
004011F2    00          db    00
004011F3    00          db    00
004011F4    FF          db    FF
004011F5    75          db    75                            ;  CHAR 'u'
004011F6    08          db    08
004011F7    6A          db    6A                            ;  CHAR 'j'
004011F8    00          db    00
004011F9    E8          db    E8
004011FA    28          db    28                            ;  CHAR '('
004011FB    00          db    00
004011FC    00          db    00
004011FD    008B4D08    dd    084D8B00
00401201    8D          db    8D
00401202    4C          db    4C                            ;  CHAR 'L'
00401203    08          db    08
00401204    FA          db    FA
00401205    8A          db    8A
00401206    01          db    01
00401207    49          db    49                            ;  CHAR 'I'
00401208    3C          db    3C                            ;  CHAR '<'
00401209    5C          db    5C                            ;  CHAR '\'
0040120A    75          db    75                            ;  CHAR 'u'
0040120B    F9          db    F9
0040120C    C6          db    C6
0040120D    41          db    41                            ;  CHAR 'A'
0040120E    02          db    02
0040120F    00          db    00
00401210    C9          db    C9
00401211    C2          db    C2
00401212    04          db    04
00401213    00          db    00
00401214    FF          db    FF
00401215    25          db    25                            ;  CHAR '%'
00401216    04          db    04
00401217    20          db    20                            ;  CHAR ' '
00401218    40          db    40                            ;  CHAR '@'
00401219    00          db    00
0040121A    FF          db    FF
0040121B    25          db    25                            ;  CHAR '%'
0040121C    08          db    08
0040121D    20          db    20                            ;  CHAR ' '
0040121E    40          db    40                            ;  CHAR '@'
0040121F    00          db    00
00401220    FF          db    FF
00401221    25          db    25                            ;  CHAR '%'
00401222    00          db    00
00401223    20          db    20                            ;  CHAR ' '
00401224    40          db    40                            ;  CHAR '@'
00401225    00          db    00
00401226    FF          db    FF
00401227    25          db    25                            ;  CHAR '%'
00401228    18          db    18
00401229    20          db    20                            ;  CHAR ' '
0040122A    40          db    40                            ;  CHAR '@'

这个是刚刚破壳还没dump出来的!

这个是dump出来的! 都没有运行! 难破啊!!!  直接不太会!1!
00401000 >/$  E8 06000000 call 0040100B
00401005  |.  50          push eax                            ; /ExitCode
00401006  \.  E8 BB010000 call <jmp.&kernel32.ExitProcess>    ; \ExitProcess
0040100B $  55          push ebp
0040100C .  8BEC       mov    ebp, esp
0040100E .  81C4 F0FEFFFF add    esp, -110
00401014 .  E9 83000000 jmp    0040109C
00401019 .  6B 72 6E 6C 6>ascii "krnln.fnr",0
00401023 .  6B 72 6E 6C 6>ascii "krnln.fne",0
0040102D .  47 65 74 4E 6>ascii "GetNewSock",0
00401038 .  53 6F 66 74 7>ascii "Software\FlySky\"
00401048 .  45 5C 49 6E 7>ascii "E\Install",0
00401052 .  50 61 74 68 0>ascii "Path",0
00401057 .  B3 CC       mov    bl, 0CC
00401059 .  D0F2       sal    dl, 1
0040105B .  C3          retn
0040105C    BB          db    BB
0040105D    D3          db    D3
0040105E    D0          db    D0
0040105F    D4          db    D4
00401060 .  CB          retf
00401061    D0          db    D0
00401062    D0          db    D0
00401063    BA          db    BA
00401064 .  CB          retf
00401065    D0          db    D0
00401066    C4          db    C4
00401067    CE          db    CE
00401068    C4          db    C4
00401069    BC          db    BC
0040106A    FE          db    FE
0040106B    BB          db    BB
0040106C    F2          db    F2
0040106D    BA          db    BA
0040106E    CB          db    CB
0040106F    D0          db    D0
00401070    C4          db    C4
00401071    CE          db    CE
00401072    C4          db    C4
00401073    BC          db    BC
00401074    FE          db    FE
00401075    CA          db    CA
00401076    C7          db    C7
00401077    CE          db    CE
00401078    DE          db    DE
00401079    D0          db    D0
0040107A    A7          db    A7
0040107B    B5          db    B5
0040107C    C4          db    C4
0040107D    2C          db    2C                            ;  CHAR ','
0040107E    C7          db    C7
0040107F    EB          db    EB
00401080    BC          db    BC
00401081    EC          db    EC
00401082    B2          db    B2
00401083    E9          db    E9
00401084    B3          db    B3
00401085    CC          int3
00401086    D0          db    D0
00401087    F2          db    F2
00401088    CE          db    CE
00401089    C4          db    C4
0040108A    BC          db    BC
0040108B    FE          db    FE
0040108C .  CA C7B7    retf 0B7C7
0040108F    F1          db    F1
00401090 .  B6 AA       mov    dh, 0AA
00401092 .  CA A721    retf 21A7
00401095    00          db    00
00401096    B4          db    B4
00401097 .  ED CE F3 3A 0>ascii "砦?",0
0040109C >  8D85 FCFEFFFF lea    eax, dword ptr [ebp-104]
004010A2 .  50          push eax
004010A3 .  E8 44010000 call 004011EC
004010A8 .  68 19104000 push 00401019                      ; /String2 = "krnln.fnr"
004010AD .  8D85 FCFEFFFF lea    eax, dword ptr [ebp-104]       ; |
004010B3 .  50          push eax                            ; |String1
004010B4 .  E8 25010000 call <jmp.&kernel32.lstrcat>       ; \lstrcat
004010B9 .  50          push eax                            ; /FileName
004010BA .  E8 19010000 call <jmp.&kernel32.LoadLibraryA>    ; \LoadLibraryA
004010BF .  85C0       test eax, eax
004010C1 .  0F85 9E000000 jnz    00401165
004010C7 .  8D85 F4FEFFFF lea    eax, dword ptr [ebp-10C]
004010CD .  50          push eax                            ; /pHandle
004010CE .  68 19000200 push 20019                         ; |Access = KEY_READ
004010D3 .  6A 00       push 0                               ; |Reserved = 0
004010D5 .  68 38104000 push 00401038                      ; |Subkey = "Software\FlySky\E\Install"
004010DA .  68 01000080 push 80000001                      ; |hKey = HKEY_CURRENT_USER
004010DF .  E8 36010000 call <jmp.&advapi32.RegOpenKeyExA> ; \RegOpenKeyExA
004010E4 .  83F8 00    cmp    eax, 0
004010E7 .  0F85 B8000000 jnz    004011A5
004010ED .  C785 F0FEFFFF>mov    dword ptr [ebp-110], 103
004010F7 .  8D85 F0FEFFFF lea    eax, dword ptr [ebp-110]
004010FD .  50          push eax                            ; /pBufSize
004010FE .  8D85 FCFEFFFF lea    eax, dword ptr [ebp-104]       ; |
00401104 .  50          push eax                            ; |Buffer
00401105 .  6A 00       push 0                               ; |pValueType = NULL
00401107 .  6A 00       push 0                               ; |Reserved = NULL
00401109 .  68 52104000 push 00401052                      ; |ValueName = "Path"
0040110E .  FFB5 F4FEFFFF push dword ptr [ebp-10C]             ; |hKey
00401114 .  E8 07010000 call <jmp.&advapi32.RegQueryValueExA> ; \RegQueryValueExA
00401119 .  50          push eax
0040111A .  FFB5 F4FEFFFF push dword ptr [ebp-10C]             ; /hKey
00401120 .  E8 EF000000 call <jmp.&advapi32.RegCloseKey>    ; \RegCloseKey
00401125 .  58          pop    eax
00401126 .  83F8 00    cmp    eax, 0
00401129 .  75 7A       jnz    short 004011A5
0040112B .  8D85 FCFEFFFF lea    eax, dword ptr [ebp-104]
00401131 .  50          push eax                            ; /String
00401132 .  E8 AD000000 call <jmp.&kernel32.lstrlen>       ; \lstrlenA
00401137 .  8D9D FCFEFFFF lea    ebx, dword ptr [ebp-104]
0040113D .  03D8       add    ebx, eax
0040113F .  4B          dec    ebx
00401140 .  803B 5C    cmp    byte ptr [ebx], 5C
00401143 .  74 05       je    short 0040114A
00401145 .  66:C703 5C00  mov    word ptr [ebx], 5C
0040114A >  68 23104000 push 00401023                      ; /String2 = "krnln.fne"
0040114F .  8D85 FCFEFFFF lea    eax, dword ptr [ebp-104]       ; |
00401155 .  50          push eax                            ; |String1
00401156 .  E8 83000000 call <jmp.&kernel32.lstrcat>       ; \lstrcat
0040115B .  50          push eax                            ; /FileName
0040115C .  E8 77000000 call <jmp.&kernel32.LoadLibraryA>    ; \LoadLibraryA
00401161 .  85C0       test eax, eax
00401163 .  74 40       je    short 004011A5
00401165 >  8985 F8FEFFFF mov    dword ptr [ebp-108], eax
0040116B .  68 2D104000 push 0040102D                      ; /ProcNameOrOrdinal = "GetNewSock"
00401170 .  50          push eax                            ; |hModule
00401171 .  E8 5C000000 call <jmp.&kernel32.GetProcAddress> ; \GetProcAddress
00401176 .  85C0       test eax, eax
00401178 .  74 20       je    short 0040119A
0040117A .  68 E8030000 push 3E8
0040117F .  FFD0       call eax
00401181 .  85C0       test eax, eax
00401183 .  74 15       je    short 0040119A
00401185 .  E8 00000000 call 0040118A
0040118A  /$  810424 761E00>add    dword ptr [esp], 1E76
00401191  |.  FFD0       call eax
00401193  |.  6A 00       push 0                               ; /ExitCode = 0
00401195  \.  E8 2C000000 call <jmp.&kernel32.ExitProcess>    ; \ExitProcess
0040119A >  FFB5 F8FEFFFF push dword ptr [ebp-108]             ; /hLibModule
004011A0 .  E8 27000000 call <jmp.&kernel32.FreeLibrary>    ; \FreeLibrary
004011A5 >  6A 10       push 10                            ; /Style = MB_OK|MB_ICONHAND|MB_APPLMODAL
004011A7 .  68 96104000 push 00401096                      ; |Title = ""B4,"砦?"
004011AC .  68 57104000 push 00401057                      ; |Text = "程序?,BB,"有运行核心文件",BB,"蚝诵奈募俏扌У?请检",B2,"槌绦蛭募?,B7,"?,B6,"?"
004011B1 .  6A 00       push 0                               ; |hOwner = NULL
004011B3 .  E8 08000000 call <jmp.&user32.MessageBoxA>       ; \MessageBoxA
004011B8 .  B8 FFFFFFFF mov    eax, -1
004011BD .  C9          leave
004011BE .  C3          retn
004011BF    CC          int3
004011C0 $- FF25 30204000 jmp    dword ptr [<&user32.MessageBoxA>>;  user32.MessageBoxA
004011C6 .- FF25 1C204000 jmp    dword ptr [<&kernel32.ExitProces>;  kernel32.ExitProcess
004011CC $- FF25 10204000 jmp    dword ptr [<&kernel32.FreeLibrar>;  kernel32.FreeLibrary
004011D2 $- FF25 24204000 jmp    dword ptr [<&kernel32.GetProcAdd>;  kernel32.GetProcAddress
004011D8 $- FF25 20204000 jmp    dword ptr [<&kernel32.LoadLibrar>;  kernel32.LoadLibraryA
004011DE $- FF25 14204000 jmp    dword ptr [<&kernel32.lstrcat>]  ;  kernel32.lstrcatA
004011E4 $- FF25 28204000 jmp    dword ptr [<&kernel32.lstrlen>]  ;  kernel32.lstrlenA
004011EA    CC          int3
004011EB    CC          int3
004011EC  /$  55          push ebp
004011ED  |.  8BEC       mov    ebp, esp
004011EF  |.  68 80000000 push 80                            ; /BufSize = 80 (128.)
004011F4  |.  FF75 08    push dword ptr [ebp+8]             ; |PathBuffer
004011F7  |.  6A 00       push 0                               ; |hModule = NULL
004011F9  |.  E8 28000000 call <jmp.&kernel32.GetModuleFileName>; \GetModuleFileNameA
004011FE  |.  8B4D 08    mov    ecx, dword ptr [ebp+8]
00401201  |.  8D4C08 FA    lea    ecx, dword ptr [eax+ecx-6]
00401205  |>  8A01       mov    al, byte ptr [ecx]
00401207  |.  49          dec    ecx
00401208  |.  3C 5C       cmp    al, 5C
0040120A  |.^ 75 F9       jnz    short 00401205
0040120C  |.  C641 02 00 mov    byte ptr [ecx+2], 0
00401210  |.  C9          leave
00401211  \.  C2 0400    retn 4
00401214 $- FF25 04204000 jmp    dword ptr [<&advapi32.RegCloseKe>;  advapi32.RegCloseKey
0040121A $- FF25 08204000 jmp    dword ptr [<&advapi32.RegOpenKey>;  advapi32.RegOpenKeyExA
00401220 $- FF25 00204000 jmp    dword ptr [<&advapi32.RegQueryVa>;  advapi32.RegQueryValueExA
00401226 $- FF25 18204000 jmp    dword ptr [<&kernel32.GetModuleF>;  kernel32.GetModuleFileNameA

高手帮忙啊!!!

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・0

免费・0

支持

最新回复 (6)
crazy丶Lan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	crazy丶Lan 2 楼 ! 会的教教!! 谢谢!! 2008-12-6 13:23 0
xiaofu 雪币： 1564 活跃值： (3567) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 273 关注私信	xiaofu 8 3 楼光一篇代码，看也看不懂一些动态的信息 2008-12-6 13:33 0
hebe 雪币： 297 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	hebe 4 楼又是易语言的东西，贴上来的只是易语言的入口段代码。光靠这些代码谁也帮不了你。再说这帖子有违规嫌疑，管理员会不会删帖还不好说呢。 2008-12-6 14:57 0
crazy丶Lan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	crazy丶Lan 5 楼我是个菜鸟啊!! 我发程序吧! 明天发!! 2008-12-6 15:54 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 6 楼如果是外挂阿什么的，什么的楼主就免了.....论坛里面的高手都对外挂都是视而不见的.且坛里也很不鼓励谈外挂...不适合新手，就算是老手也对不愿意搞....crack外挂一般都是体力活...... 2008-12-6 21:53 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 7 楼贴一堆垃圾代码刷屏！除了看出是易语言写的，其他啥都没有！ 2008-12-7 11:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

crazy丶Lan

发帖

回帖

RANK

关注

私信

他的文章

[求助]这个程序如何破网络验证?!1 3792

关于我们

联系我们

企业服务

看雪公众号

最新回复 (6)
crazy丶Lan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	crazy丶Lan 2 楼 ! 会的教教!! 谢谢!! 2008-12-6 13:23 0
xiaofu 雪币： 1564 活跃值： (3567) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 273 关注私信	xiaofu 8 3 楼光一篇代码，看也看不懂一些动态的信息 2008-12-6 13:33 0
hebe 雪币： 297 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	hebe 4 楼又是易语言的东西，贴上来的只是易语言的入口段代码。光靠这些代码谁也帮不了你。再说这帖子有违规嫌疑，管理员会不会删帖还不好说呢。 2008-12-6 14:57 0
crazy丶Lan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	crazy丶Lan 5 楼我是个菜鸟啊!! 我发程序吧! 明天发!! 2008-12-6 15:54 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 6 楼如果是外挂阿什么的，什么的楼主就免了.....论坛里面的高手都对外挂都是视而不见的.且坛里也很不鼓励谈外挂...不适合新手，就算是老手也对不愿意搞....crack外挂一般都是体力活...... 2008-12-6 21:53 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 7 楼贴一堆垃圾代码刷屏！除了看出是易语言写的，其他啥都没有！ 2008-12-7 11:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]这个程序如何 破网络验证?!1

[求助]这个程序如何破网络验证?!1