TA的每日心情 | 衰 2017-12-9 12:47 |
---|
签到天数: 47 天 [LV.5]常住居民I
|
本帖最后由 nongen 于 2013-8-29 13:29 编辑
SD7000工业3.55.rar
(984.01 KB, 下载次数: 104)
好久没弄速达了,突然发现速达加壳了。好奇怪,于是看了一下。
原本带的壳,用OD+脱壳Aspr2.XX的脚本。用Import REConstructor修复一下,这里不多说,,网上很多相关教程。
---
载入后,发现解码后的程序,找不到现成的字符串,比如提示对话框里的文字之类的。
于是运行了一下,头一个提示依然是“没有加密狗云云”一大段话,于是,给MessageBoxA所有引用点加断点。
重新运行一下程序,停在的第一个断点就是,提示没有狗的地方了。
0041935F . 8B0A MOV ECX,DWORD PTR DS:[EDX] ; |
00419361 . 8B41 30 MOV EAX,DWORD PTR DS:[ECX+30] ; |
00419364 . 50 PUSH EAX ; |hOwner
00419365 . E8 78A31000 CALL <JMP.&user32.MessageBoxA> ; \MessageBoxA
0041936A . FF4B 1C DEC DWORD PTR DS:[EBX+1C]
0041936D . 8D45 E4 LEA EAX,DWORD PTR SS:[EBP-1C]
00419370 . BA 02000000 MOV EDX,2
00419375 . E8 BA350F00 CALL dumped_.0050C934
0041937A . FF4B 1C DEC DWORD PTR DS:[EBX+1C]
0041937D . 8D45 E8 LEA EAX,DWORD PTR SS:[EBP-18]
00419380 . BA 02000000 MOV EDX,2
那么这样就翻到这段的最前面,
00419178 $ 55 PUSH EBP
00419179 . 8BEC MOV EBP,ESP
0041917B . 83C4 B8 ADD ESP,-48
0041917E . B8 08D15200 MOV EAX,dumped_.0052D108
00419183 . 53 PUSH EBX
00419184 . 56 PUSH ESI
00419185 . 57 PUSH EDI
在这里下断点,然后逐步跟踪,具体以前也有过相关的文章。
要说的是,注册这个地方,不管试用也好有狗也好,都是要注册的,而以前的版本,注册公式是放在:DataTran.dll这个文件里的,只要跳过就随便填OA注册。
新的是将注册公式放在了CheckDll.dll里面。所以注册那个地方要修改CheckDll.dll。
好了,不多说,上文件。
=====================================
华为网盘附件:
【华为网盘】 SD7000工业3.55.rar
(984.01K) |
评分
-
查看全部评分
|