作 者:@H_403_1@GoOdLeiSuRe@H_403_1@
时 间:@H_403_1@2007-03-31,20:18:37
链 接:@H_403_1@http://bbs.pediy.com/showthread.PHP?t=41926
@H_403_1@
【文章作者】GoOdLeiSuRe@H_403_1@
【分析时间】2007年3月30日@H_403_1@
【分析说明】本人很菜,完全入门水准,恳请指正,谢谢。@H_403_1@
【软件名称】休闲麻将3.4@H_403_1@
【软件大小】4.43MB@H_403_1@
【下载地址】@H_403_1@ http://zj1.51.net/mj.htm
【软件限制】这是一个共享软件(有30次使用及每次7局限制),注册费:30元,注册后将无任何使用限制。@H_403_1@
【注册类型】机器码+用户名->注册码,网络验证@H_403_1@
【破解过程】@H_403_1@
主程序:Mj.exe@H_403_1@
PEiD检查:ASPack2.12->AlexeySolodovnikov@H_403_1@
脱壳:用AspackDie直接脱@H_403_1@
PEiD再检查:MicrosoftVisualBasic5.0/6.0@H_403_1@
编译方式:用OllyDBG加载,感觉是P-CODE,用WKTVBDebugger加载,果然是P-CODE@H_403_1@
代码:
//加载后停于此 0049A850:00LargeBos //一路F8瞧瞧 0049A852:00LargeBos 0049A854:4BOnErrorGotoNext 0049A857:00LargeBos 0049A859:04FLdRfVar0070FB56h 0049A85C:04FLdRfVar0070FB58h 0049A85F:05ImpAdLdRf 0049A862:24NewIfNullPr0041CEA8 0049A865:0DVCallHresultCVBApp::get_App 0049A86A:08FLdPr 0049A86D:0DVCallHresultget__ipropPrevInstanceAPP 0049A872:6BFLdI2 0049A875:1AFFree1Ad 0049A878:1CBranchF0049A87F(Jump) 0049A87B:00LargeBos 0049A87D:FCLead1/End 0049A87F:00LargeBos //读取安装目录吧? 0049A881:1BLitStr:'SetupDir' 0049A884:43FStStrCopy 0049A87B:00LargeBos 0049A87D:FCLead1/End 0049A87F:00LargeBos 0049A881:1BLitStr:'SetupDir' 0049A884:43FStStrCopy 0049A887:04FLdRfVar0070FB48h //注册表字符串,说不定用户名与注册码也会储存在这儿 0049A88A:1BLitStr:'SoftWare\NetMJ\Infomation' 0049A88D:43FStStrCopy 0049A890:04FLdRfVar0070FB4Ch 0049A893:F5LitI4:->80000002h-2147483646 0049A898:59PopTmpLdAdStr //读取注册表“SoftWare\NetMJ\Infomation”,获取“SetupDir”值 0049A89B:0BImpAdCallI2modPubTools!0044C5C4h 0049A8A0:31FStStr …… //F5运行
在窗口下拉列表中看到了重要窗口:frmUserReg@H_403_1@
点击:Command@H_403_1@
在弹出窗口选择:cmdOK@H_403_1@
点击:BPX,进行中断@H_403_1@
接着返回主程序,输入一些注册信息,一但“确定”就会中断:@H_403_1@
0044485C:04FLdRfVar0070F378h 0044485F:21FLdPrThis004FC52Ch 00444860:0FVCallAdfrmUserReg.txtUserName 00444863:19FStAdFunc0070F37C 00444866:08FLdPr 00444869:0DVCallHresultget__ipropTEXTEDIT 0044486E:6CILdRf00000000h 00444871:0BImpAdCallI2rtcTrimBstronaddress660E6AC5h //用户名 00444876:FDLead2/PopTmpLdAdStr 0044487A:1BLitStr:'RegName' 0044487D:43FStStrCopy 00444880:04FLdRfVar0070F36Ch 00444883:1BLitStr:'SoftWare\NetMJ\Infomation' 00444886:43FStStrCopy 00444889:04FLdRfVar0070F370h 0044488C:F5LitI4:->80000002h-2147483646 00444891:59PopTmpLdAdStr 00444894:0AImpAdCallFPR4modPubTools!0044507Ch 00444899:32FFreeStr 004448A4:1AFFree1Ad 004448A7:04FLdRfVar0070F378h 004448AA:21FLdPrThis004FC52Ch 004448AB:0FVCallAdfrmUserReg.txtPassword 004448AE:19FStAdFunc 004448B1:08FLdPr 004448B4:0DVCallHresultget__ipropTEXTEDIT 004448B9:6CILdRf00000000h 004448BC:0BImpAdCallI2rtcTrimBstronaddress660E6AC5h //注册码 004448C1:FDLead2/PopTmpLdAdStr 004448C5:1BLitStr:'RegCode' 004448C8:43FStStrCopy 004448CB:04FLdRfVar0070F36Ch 004448CE:1BLitStr:'SoftWare\NetMJ\Infomation' 004448D1:43FStStrCopy 004448D4:04FLdRfVar0070F370h 004448D7:F5LitI4:->80000002h-2147483646 004448DC:59PopTmpLdAdStr 004448DF:0AImpAdCallFPR4modPubTools!0044507Ch 004448E4:32FFreeStr