做网站一般几个人,WordPress 中英文翻译,优秀网站设计作品,网站开发社区解密系列之OD使用教程9
程序#xff1a;MrBills.exe 点击注册#xff0c;输入邮箱和序列号后提示如下 突破口#xff1a;该提示窗口中的字符串#xff0c;查找如下 双击来到反汇编窗口#xff0c;有个关键跳转#xff0c;往上查看影响跳转的语句是test al,al#xf…解密系列之OD使用教程9
程序MrBills.exe 点击注册输入邮箱和序列号后提示如下 突破口该提示窗口中的字符串查找如下 双击来到反汇编窗口有个关键跳转往上查看影响跳转的语句是test al,al猜测al0为未注册al1为已注册再往上查看call 0040714C决定al值下断跟进查看。 跟进“需进入1”找到2个关键call 跟进“需进入2”和“需进入3”发现函数里代码相似 看来call 406F4B是关键跟进后来到 最后一句为mov al,bl这是改变al值的关键语句修改为mov al,1后按F9运行程序发现 保存到可执行文件后运行程序 未注册等信息已经不在了。
解密系列之OD使用教程10
程序PC2AM2_PRO.exe 首先进行安装然后用PEID查看如下所示 可知该程序由VB编写所有的VB程序几乎都是依赖于一个外部的动态链接库。这个动态链接库的名字是MSVBVM60.dll可能有多个版本但名字都差不多~然而正是因为VB中所有的API函数都在DLL中去实现所以导致我们在跟踪程序的执行代码时频繁地在DLL领空和程序领空跳来跳去。 VB程序破解关键
针对变量针对字符串__vbaVarTstEq__vbaStrCmp__vbaVarTstNe__vbaStrComp__vbaVarCompEq__vbaStrCompVar__vbaVarCompLe__vbaStrLike__vbaVarCompLt__vbaStrTextComp__vbaVarCompGe__vbaStrTextLike__vbaVarCompGt__vbaVarCompNe
用OD载入按下CtrlN打开模块窗口查找直接输入vbaVarTstEq找到后右键在每个参考上设置断点提示设置了88个断点按F9运行程序在第一个断点处断下继续按F8单步执行走到下面图中位置 注释里有一串类似注册码的字符记录下来删除所有断点在注册编辑框里输入注册成功。简单VB程序的注册码一般都可以用类似的方法找到
oeiu-564-oqei-97解密系列之OD使用教程11
程序fjprodsetup.exe 安装程序打开查看是未注册版本有功能限制。用OD载入搜索所有字符串unregister双击下面高亮一行 发现有跳转但修改跳转之后只是去掉了标题栏的unregistered并不能破解关键还在于al的值 如图选中子程序第一行提示窗口显示本地调用来自4047D3、404880在这两个地址处下断去掉之前的断点。按F9运行程序在4047D3处断下去掉404880处的断点如下图 在4047CD处下断重新运行程序跟进发现这个call可能是程序加密验证的过程如下图所示可进行修改并保存达到破解 的目的但还可进行更深入的研究进入验证函数1和函数2对加密算法进行逆向写出注册机此处不再赘述有能力者可联系笔者进行交流。
解密系列之OD使用教程12——逆向后的Delphi特色
程序Teksched.ex. 运行程序有NAG窗口需要注册用PEID查看是Delphi编写的程序用OD载入程序留意Delphi程序与VC程序的区别。 搜索字符串registration如下 双击第一行来到 在高亮这行右键查找参考选定命令有 双击第一行又来到了原来的地方 在004A582C、004A5841处下断F9运行起来点击注册窗口输入注册信息发现并不能断下。得找其他突破口向上浏览程序反汇编代码可以看到程序很有Delphi特色
1、push 004A5841 retn这两条指令后会有jmp往前跳的指令等价于 jmp 004A5841
2、存在很多call调用
继续往上浏览发现有输入注册码提示信息在上图地方下断 运行程序输入注册信息按CtrlF8执行程序跑飞断在ntdll动态链接库中按“—”号回到程序领空并在该call上一条指令处下断然后运行程序 将该call指令NOP掉继续执行来到下图 将高亮这行改为jmp 4A5608继续执行 将该条跳转NOP掉按CtrlF8继续执行最后来到最开始的位置如下 至此程序完美破解 保存修改到文件后重新运行程序进行验证完美破解。
