-
-
[旧帖] [求助] 达人 试试这个程序 0.00雪花
-
发表于: 2009-6-18 23:20
-
今天朋友发了个传世加速器,说是很好用,知道我最近在学破解。
程序拿到手后先运行试试,感觉应属于生成一个注册文件放在某个位置,用ollydbg载入,惊奇发现没有心想现在难得没有加壳的程序了,呵呵,本以为好破,参考OllyDBG 入门系列(五)-消息断点及 RUN 跟踪 可是找不到窗口,闷心啊!
,认真分析文件发现几个可疑地方:0048BDC3 . 25 FF000000 AND EAX,0FF
0048BDC8 . 85C0 TEST EAX,EAX
0048BDCA 0F84 97010000 JE 外挂启动.0048BF67 这里的跳
0048BDD0 . 8B0D 04444C00 MOV ECX,DWORD PTR DS:[4C4404]
0048BDD6 . 330D D8434C00 XOR ECX,DWORD PTR DS:[4C43D8]
0048BDDC . 330D 14444C00 XOR ECX,DWORD PTR DS:[4C4414]
0048BDE2 . 83E1 20 AND ECX,20
0048BDE5 . 85C9 TEST ECX,ECX
0048BDE7 0F84 7A010000 JE 外挂启动.0048BF67 这里的跳
0048BDED . 8B15 D0434C00 MOV EDX,DWORD PTR DS:[4C43D0]
0048BDF3 . 3315 B0434C00 XOR EDX,DWORD PTR DS:[4C43B0]
0048BDF9 . 3315 88434C00 XOR EDX,DWORD PTR DS:[4C4388]
0048BDFF . 52 PUSH EDX
0048BE00 . 68 80464C00 PUSH 外挂启动.004C4680 ; ASCII "RN%08X"
0048BE05 . 8D85 D8FEFFFF LEA EAX,DWORD PTR SS:[EBP-128]
0048BE0B . 50 PUSH EAX
0048BE0C . E8 F93F0100 CALL 外挂启动.0049FE0A
0048BE11 . 83C4 0C ADD ESP,0C
0048BE14 . 8D8D D8FEFFFF LEA ECX,DWORD PTR SS:[EBP-128]
0048BE1A . 51 PUSH ECX ; /MutexName
0048BE1B . 6A 00 PUSH 0 ; |InitialOwner = FALSE
0048BE1D . 6A 00 PUSH 0 ; |pSecurity = NULL
0048BE1F . FF15 A0404C00 CALL DWORD PTR DS:[<&KERNEL32.CreateMutexA>] ; \CreateMutexA
0048BE25 . 8985 D4FEFFFF MOV DWORD PTR SS:[EBP-12C],EAX
0048BE2B . 83BD D4FEFFFF>CMP DWORD PTR SS:[EBP-12C],0
0048BE32 0F84 2F010000 JE 外挂启动.0048BF67 这里的跳
0048BE38 . FF15 74404C00 CALL DWORD PTR DS:[<&KERNEL32.GetLastError>] ; [GetLastError
0048BE3E . 3D B7000000 CMP EAX,0B7
0048BE43 0F85 1E010000 JNZ 外挂启动.0048BF67 这里的跳
0048BE49 . 68 30750000 PUSH 7530 ; /Timeout = 30000. ms
这四个跳很可疑,有可能是程序查找有没有注册信息 如果没有就跳走,我就把这些跳都该成nop 可是程序运行没有任何反应,
,,,希望这里有高人指点一二,新手也好学习啊,这样的程序不多,
还有写个注册机来最好用他写个教程,我们这样的菜鸟真是万分感谢
(本人潜水多年还是菜鸟一个)
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
