|
[转帖]WinHex 16.7 SR-4
KEY不能用,过不了检测 |
|
[原创]脱壳破解工具箱 UnPacKinG & CrAcKinG TooLs 2o1o v2.4 By RegKiller 20101006
收集这么多工具不容易,兄弟辛苦了。 不过BT的速度好慢啊。 |
|
|
|
[求助]新手问题,请兄弟们帮我确认一下思路是否正确!
2、从0089628E |. B8 04648900 |mov eax, TSMedPF_.00896404跟进后,出现了“checkregistinfo","registerproduct","showregistinfo"字段,可悟了几天都没出个啥结果,望兄弟们能指点一下。 请问这里是怎样触发的?有什么样的限制? 008C1274 /$ 55 push ebp 008C1275 |. 8BEC mov ebp, esp 008C1277 |. 83C4 F4 add esp, -0C 008C127A |. 53 push ebx 008C127B |. 56 push esi 008C127C |. 57 push edi 008C127D |. 33DB xor ebx, ebx 008C127F |. 895D F4 mov dword ptr [ebp-C], ebx 008C1282 |. 884D FB mov byte ptr [ebp-5], cl 008C1285 |. 8955 FC mov dword ptr [ebp-4], edx 008C1288 |. 8BD8 mov ebx, eax 008C128A |. 8B45 FC mov eax, dword ptr [ebp-4] 008C128D |. E8 D233B4FF call TSMedPF_.00404664 008C1292 |. 33C0 xor eax, eax 008C1294 |. 55 push ebp 008C1295 |. 68 3B138C00 push TSMedPF_.008C133B 008C129A |. 64:FF30 push dword ptr fs:[eax] 008C129D |. 64:8920 mov dword ptr fs:[eax], esp 008C12A0 |. BE FEFFFFFF mov esi, -2 008C12A5 |. 83BB D4040000>cmp dword ptr [ebx+4D4], 0 008C12AC |. 74 0F je short TSMedPF_.008C12BD 008C12AE |. 83BB D0040000>cmp dword ptr [ebx+4D0], 0 008C12B5 |. 74 06 je short TSMedPF_.008C12BD 008C12B7 |. 837D FC 00 cmp dword ptr [ebp-4], 0 008C12BB |. 75 07 jnz short TSMedPF_.008C12C4 008C12BD |> BE F6FFFFFF mov esi, -0A 008C12C2 |. EB 59 jmp short TSMedPF_.008C131D 008C12C4 |> A1 3C2E8E00 mov eax, dword ptr [8E2E3C] 008C12C9 |. 8338 00 cmp dword ptr [eax], 0 008C12CC |. 76 4F jbe short TSMedPF_.008C131D 008C12CE |. 68 4C138C00 push TSMedPF_.008C134C ; /checkregistinfo 008C12D3 |. A1 3C2E8E00 mov eax, dword ptr [8E2E3C] ; | 008C12D8 |. 8B00 mov eax, dword ptr [eax] ; | 008C12DA |. 50 push eax ; |hModule 008C12DB |. E8 107AB4FF call <jmp.&kernel32.GetProcAddress> ; \GetProcAddress 008C12E0 |. 89C7 mov edi, eax 008C12E2 |. 85FF test edi, edi 008C12E4 |. 74 37 je short TSMedPF_.008C131D 008C12E6 |. 8A45 FB mov al, byte ptr [ebp-5] 008C12E9 |. 50 push eax 008C12EA |. 8D55 F4 lea edx, dword ptr [ebp-C] 008C12ED |. A1 382F8E00 mov eax, dword ptr [8E2F38] 008C12F2 |. 8B00 mov eax, dword ptr [eax] 008C12F4 |. E8 7BC8B9FF call TSMedPF_.0045DB74 008C12F9 |. 8B45 F4 mov eax, dword ptr [ebp-C] 008C12FC |. 50 push eax 008C12FD |. 8B45 FC mov eax, dword ptr [ebp-4] 008C1300 |. 50 push eax 008C1301 |. 8B83 D0040000 mov eax, dword ptr [ebx+4D0] 008C1307 |. 50 push eax 008C1308 |. 8B83 D4040000 mov eax, dword ptr [ebx+4D4] 008C130E |. 50 push eax 008C130F |. FFD7 call edi 008C1311 |. 8BF0 mov esi, eax 008C1313 |. 85F6 test esi, esi 008C1315 |. A1 E82D8E00 mov eax, dword ptr [8E2DE8] 008C131A |. 0F9500 setne byte ptr [eax] 008C131D |> 33C0 xor eax, eax 008C131F |. 5A pop edx 008C1320 |. 59 pop ecx 008C1321 |. 59 pop ecx 008C1322 |. 64:8910 mov dword ptr fs:[eax], edx 008C1325 |. 68 42138C00 push TSMedPF_.008C1342 008C132A |> 8D45 F4 lea eax, dword ptr [ebp-C] 008C132D |. E8 FE2EB4FF call TSMedPF_.00404230 008C1332 |. 8D45 FC lea eax, dword ptr [ebp-4] 008C1335 |. E8 F62EB4FF call TSMedPF_.00404230 008C133A \. C3 retn 008C133B .^ E9 2828B4FF jmp TSMedPF_.00403B68 008C1340 .^ EB E8 jmp short TSMedPF_.008C132A 008C1342 . 8BC6 mov eax, esi 008C1344 . 5F pop edi 008C1345 . 5E pop esi 008C1346 . 5B pop ebx 008C1347 . 8BE5 mov esp, ebp 008C1349 . 5D pop ebp 008C134A . C3 retn 008C134B 00 db 00 008C134C . 43 68 65 63 6>ascii "CheckRegistInfo",0 008C135C /$ 55 push ebp 008C135D |. 8BEC mov ebp, esp 008C135F |. 83C4 F8 add esp, -8 008C1362 |. 53 push ebx 008C1363 |. 56 push esi 008C1364 |. 57 push edi 008C1365 |. 33C9 xor ecx, ecx 008C1367 |. 894D F8 mov dword ptr [ebp-8], ecx 008C136A |. 8955 FC mov dword ptr [ebp-4], edx 008C136D |. 8BF8 mov edi, eax 008C136F |. 8B45 FC mov eax, dword ptr [ebp-4] 008C1372 |. E8 ED32B4FF call TSMedPF_.00404664 008C1377 |. 33C0 xor eax, eax 008C1379 |. 55 push ebp 008C137A |. 68 05148C00 push TSMedPF_.008C1405 008C137F |. 64:FF30 push dword ptr fs:[eax] 008C1382 |. 64:8920 mov dword ptr fs:[eax], esp 008C1385 |. 33DB xor ebx, ebx 008C1387 |. 83BF D4040000>cmp dword ptr [edi+4D4], 0 008C138E |. 74 5A je short TSMedPF_.008C13EA 008C1390 |. 83BF D0040000>cmp dword ptr [edi+4D0], 0 008C1397 |. 74 51 je short TSMedPF_.008C13EA 008C1399 |. 837D FC 00 cmp dword ptr [ebp-4], 0 008C139D |. 74 4B je short TSMedPF_.008C13EA 008C139F |. A1 3C2E8E00 mov eax, dword ptr [8E2E3C] 008C13A4 |. 8338 00 cmp dword ptr [eax], 0 008C13A7 |. 74 41 je short TSMedPF_.008C13EA 008C13A9 |. 68 18148C00 push TSMedPF_.008C1418 ; /registerproduct 008C13AE |. A1 3C2E8E00 mov eax, dword ptr [8E2E3C] ; | 008C13B3 |. 8B00 mov eax, dword ptr [eax] ; | 008C13B5 |. 50 push eax ; |hModule 008C13B6 |. E8 3579B4FF call <jmp.&kernel32.GetProcAddress> ; \GetProcAddress 008C13BB |. 89C6 mov esi, eax 008C13BD |. 85F6 test esi, esi 008C13BF |. 74 29 je short TSMedPF_.008C13EA 008C13C1 |. 8D55 F8 lea edx, dword ptr [ebp-8] 008C13C4 |. A1 382F8E00 mov eax, dword ptr [8E2F38] 008C13C9 |. 8B00 mov eax, dword ptr [eax] 008C13CB |. E8 A4C7B9FF call TSMedPF_.0045DB74 008C13D0 |. 8B45 F8 mov eax, dword ptr [ebp-8] 008C13D3 |. 50 push eax 008C13D4 |. 8B45 FC mov eax, dword ptr [ebp-4] 008C13D7 |. 50 push eax 008C13D8 |. 8B87 D0040000 mov eax, dword ptr [edi+4D0] 008C13DE |. 50 push eax 008C13DF |. 8B87 D4040000 mov eax, dword ptr [edi+4D4] 008C13E5 |. 50 push eax 008C13E6 |. FFD6 call esi 008C13E8 |. 8BD8 mov ebx, eax 008C13EA |> 33C0 xor eax, eax 008C13EC |. 5A pop edx 008C13ED |. 59 pop ecx 008C13EE |. 59 pop ecx 008C13EF |. 64:8910 mov dword ptr fs:[eax], edx 008C13F2 |. 68 0C148C00 push TSMedPF_.008C140C 008C13F7 |> 8D45 F8 lea eax, dword ptr [ebp-8] 008C13FA |. BA 02000000 mov edx, 2 008C13FF |. E8 502EB4FF call TSMedPF_.00404254 008C1404 \. C3 retn 008C1405 .^ E9 5E27B4FF jmp TSMedPF_.00403B68 008C140A .^ EB EB jmp short TSMedPF_.008C13F7 008C140C . 8BC3 mov eax, ebx 008C140E . 5F pop edi 008C140F . 5E pop esi 008C1410 . 5B pop ebx 008C1411 . 59 pop ecx 008C1412 . 59 pop ecx 008C1413 . 5D pop ebp 008C1414 . C3 retn 008C1415 00 db 00 008C1416 00 db 00 008C1417 00 db 00 008C1418 . 52 65 67 69 7>ascii "RegisterProduct",0 008C1428 /$ 55 push ebp 008C1429 |. 8BEC mov ebp, esp 008C142B |. 83C4 F8 add esp, -8 008C142E |. 53 push ebx 008C142F |. 56 push esi 008C1430 |. 57 push edi 008C1431 |. 33C9 xor ecx, ecx 008C1433 |. 894D F8 mov dword ptr [ebp-8], ecx 008C1436 |. 8955 FC mov dword ptr [ebp-4], edx 008C1439 |. 8BF8 mov edi, eax 008C143B |. 8B45 FC mov eax, dword ptr [ebp-4] 008C143E |. E8 2132B4FF call TSMedPF_.00404664 008C1443 |. 33C0 xor eax, eax 008C1445 |. 55 push ebp 008C1446 |. 68 D1148C00 push TSMedPF_.008C14D1 008C144B |. 64:FF30 push dword ptr fs:[eax] 008C144E |. 64:8920 mov dword ptr fs:[eax], esp 008C1451 |. 33DB xor ebx, ebx 008C1453 |. 83BF D4040000>cmp dword ptr [edi+4D4], 0 008C145A |. 74 5A je short TSMedPF_.008C14B6 008C145C |. 83BF D0040000>cmp dword ptr [edi+4D0], 0 008C1463 |. 74 51 je short TSMedPF_.008C14B6 008C1465 |. 837D FC 00 cmp dword ptr [ebp-4], 0 008C1469 |. 74 4B je short TSMedPF_.008C14B6 008C146B |. A1 3C2E8E00 mov eax, dword ptr [8E2E3C] 008C1470 |. 8338 00 cmp dword ptr [eax], 0 008C1473 |. 74 41 je short TSMedPF_.008C14B6 008C1475 |. 68 E4148C00 push TSMedPF_.008C14E4 ; /showregistinfo 008C147A |. A1 3C2E8E00 mov eax, dword ptr [8E2E3C] ; | 008C147F |. 8B00 mov eax, dword ptr [eax] ; | 008C1481 |. 50 push eax ; |hModule 008C1482 |. E8 6978B4FF call <jmp.&kernel32.GetProcAddress> ; \GetProcAddress 008C1487 |. 89C6 mov esi, eax 008C1489 |. 85F6 test esi, esi 008C148B |. 74 29 je short TSMedPF_.008C14B6 008C148D |. 8D55 F8 lea edx, dword ptr [ebp-8] 008C1490 |. A1 382F8E00 mov eax, dword ptr [8E2F38] 008C1495 |. 8B00 mov eax, dword ptr [eax] 008C1497 |. E8 D8C6B9FF call TSMedPF_.0045DB74 008C149C |. 8B45 F8 mov eax, dword ptr [ebp-8] 008C149F |. 50 push eax 008C14A0 |. 8B45 FC mov eax, dword ptr [ebp-4] 008C14A3 |. 50 push eax 008C14A4 |. 8B87 D0040000 mov eax, dword ptr [edi+4D0] 008C14AA |. 50 push eax 008C14AB |. 8B87 D4040000 mov eax, dword ptr [edi+4D4] 008C14B1 |. 50 push eax 008C14B2 |. FFD6 call esi 008C14B4 |. 8BD8 mov ebx, eax 008C14B6 |> 33C0 xor eax, eax 008C14B8 |. 5A pop edx 008C14B9 |. 59 pop ecx 008C14BA |. 59 pop ecx 008C14BB |. 64:8910 mov dword ptr fs:[eax], edx 008C14BE |. 68 D8148C00 push TSMedPF_.008C14D8 008C14C3 |> 8D45 F8 lea eax, dword ptr [ebp-8] 008C14C6 |. BA 02000000 mov edx, 2 008C14CB |. E8 842DB4FF call TSMedPF_.00404254 008C14D0 \. C3 retn 008C14D1 .^ E9 9226B4FF jmp TSMedPF_.00403B68 008C14D6 .^ EB EB jmp short TSMedPF_.008C14C3 008C14D8 . 8BC3 mov eax, ebx 008C14DA . 5F pop edi 008C14DB . 5E pop esi 008C14DC . 5B pop ebx 008C14DD . 59 pop ecx 008C14DE . 59 pop ecx 008C14DF . 5D pop ebp 008C14E0 . C3 retn 008C14E1 00 db 00 008C14E2 00 db 00 008C14E3 00 db 00 008C14E4 . 53 68 6F 77 5>ascii "ShowRegistInfo",0 008C14F3 00 db 00 008C14F4 . 55 push ebp 008C14F5 . 8BEC mov ebp, esp 008C14F7 . 33C0 xor eax, eax 008C14F9 . 55 push ebp 008C14FA . 68 78158C00 push TSMedPF_.008C1578 008C14FF . 64:FF30 push dword ptr fs:[eax] 008C1502 . 64:8920 mov dword ptr fs:[eax], esp 008C1505 . FF05 D4DC9100 inc dword ptr [91DCD4] 008C150B . 75 5D jnz short TSMedPF_.008C156A 008C150D . B8 AC268E00 mov eax, TSMedPF_.008E26AC 008C1512 . E8 192DB4FF call TSMedPF_.00404230 008C1517 . B8 A8268E00 mov eax, TSMedPF_.008E26A8 008C151C . E8 0F2DB4FF call TSMedPF_.00404230 008C1521 . B8 A4268E00 mov eax, TSMedPF_.008E26A4 008C1526 . E8 052DB4FF call TSMedPF_.00404230 008C152B . B8 88268E00 mov eax, TSMedPF_.008E2688 008C1530 . B9 02000000 mov ecx, 2 008C1535 . 8B15 34114000 mov edx, dword ptr [401134] ; TSMedPF_.00401138 008C153B . E8 2438B4FF call TSMedPF_.00404D64 008C1540 . B8 5C268E00 mov eax, TSMedPF_.008E265C 008C1545 . B9 0B000000 mov ecx, 0B 008C154A . 8B15 34114000 mov edx, dword ptr [401134] ; TSMedPF_.00401138 008C1550 . E8 0F38B4FF call TSMedPF_.00404D64 008C1555 . B8 54268E00 mov eax, TSMedPF_.008E2654 008C155A . B9 02000000 mov ecx, 2 008C155F . 8B15 34114000 mov edx, dword ptr [401134] ; TSMedPF_.00401138 008C1565 . E8 FA37B4FF call TSMedPF_.00404D64 008C156A > 33C0 xor eax, eax |
|
[求助]新手问题,请兄弟们帮我确认一下思路是否正确!
接上部代码,并且就在下面这代出现了“产品未注册,请注册的消息”,但爆破后在使用时并未出现这个提示,所以猜想可能需要某个条件才能触发。尝试过把系统时间调到1年以后,也没有提示。 0089621C |> \8D55 C8 lea edx, dword ptr [ebp-38] 0089621F |. 8B03 mov eax, dword ptr [ebx] 00896221 |. 8B40 24 mov eax, dword ptr [eax+24] 00896224 |. E8 87AF0200 call TSMedPF_.008C11B0 00896229 |. 8B45 C8 mov eax, dword ptr [ebp-38] 0089622C |. 8B57 08 mov edx, dword ptr [edi+8] 0089622F |. E8 8CE3B6FF call TSMedPF_.004045C0 00896234 |. 8B03 mov eax, dword ptr [ebx] 00896236 |. 8B70 24 mov esi, dword ptr [eax+24] 00896239 |. 80BE AE040000>cmp byte ptr [esi+4AE], 1 00896240 |. 75 36 jnz short TSMedPF_.00896278 00896242 |. 8BC6 mov eax, esi 00896244 |. E8 CFAF0200 call TSMedPF_.008C1218 00896249 |. 66:85C0 test ax, ax 0089624C |. 76 2A jbe short TSMedPF_.00896278 0089624E |. 8B03 mov eax, dword ptr [ebx] 00896250 |. 8B40 24 mov eax, dword ptr [eax+24] 00896253 |. E8 C0AF0200 call TSMedPF_.008C1218 00896258 |. 0FB7C0 movzx eax, ax 0089625B |. 50 push eax 0089625C |. 6A 00 push 0 0089625E |. 68 FE0C0000 push 0CFE 00896263 |. A1 382F8E00 mov eax, dword ptr [8E2F38] 00896268 |. 8B00 mov eax, dword ptr [eax] 0089626A |. 8B40 38 mov eax, dword ptr [eax+38] 0089626D |. E8 B6D6BAFF call TSMedPF_.00443928 00896272 |. 50 push eax ; |hWnd 00896273 |. E8 6834B7FF call <jmp.&user32.PostMessageA> ; \PostMessageA 00896278 |> 8B03 /mov eax, dword ptr [ebx] 0089627A |. 8B40 24 |mov eax, dword ptr [eax+24] 0089627D |. B1 01 |mov cl, 1 0089627F |. BA D4638900 |mov edx, TSMedPF_.008963D4 ; {910770de-f4ea-4f8c-90d6-e28d78d5afd2} 00896284 |. E8 EBAF0200 |call TSMedPF_.008C1274 //请问这里是关键CALL吗? 00896289 |. 83F8 FE |cmp eax, -2 ; Switch (cases FFFFFFFE..FFFFFFFF) 0089628C |. 75 52 |jnz short TSMedPF_.008962E0 0089628E |. B8 04648900 |mov eax, TSMedPF_.00896404 ; 产品已过期,是否现在注册?; Case FFFFFFFE of switch 00896289 00896293 |. E8 7428D5FF |call TSMedPF_.005E8B0C 00896298 |. 83F8 06 |cmp eax, 6 0089629B |. 75 2B |jnz short TSMedPF_.008962C8 0089629D |. BA D4638900 |mov edx, TSMedPF_.008963D4 ; {910770de-f4ea-4f8c-90d6-e28d78d5afd2} 008962A2 |. 8B03 |mov eax, dword ptr [ebx] 008962A4 |. 8B40 24 |mov eax, dword ptr [eax+24] 008962A7 |. E8 B0B00200 |call TSMedPF_.008C135C 008962AC |. 84C0 |test al, al 008962AE |.^ 75 C8 \jnz short TSMedPF_.00896278 008962B0 |. 8B03 mov eax, dword ptr [ebx] 008962B2 |. 8B40 24 mov eax, dword ptr [eax+24] 008962B5 |. E8 16A20200 call TSMedPF_.008C04D0 008962BA |. A1 382F8E00 mov eax, dword ptr [8E2F38] 008962BF |. 8B00 mov eax, dword ptr [eax] 008962C1 |. E8 9A74BCFF call TSMedPF_.0045D760 008962C6 |. EB 39 jmp short TSMedPF_.00896301 008962C8 |> 8B03 mov eax, dword ptr [ebx] 008962CA |. 8B40 24 mov eax, dword ptr [eax+24] 008962CD |. E8 FEA10200 call TSMedPF_.008C04D0 008962D2 |. A1 382F8E00 mov eax, dword ptr [8E2F38] 008962D7 |. 8B00 mov eax, dword ptr [eax] 008962D9 |. E8 8274BCFF call TSMedPF_.0045D760 008962DE |. EB 21 jmp short TSMedPF_.00896301 008962E0 |> 40 inc eax 008962E1 |. 75 1E jnz short TSMedPF_.00896301 008962E3 |. B8 28648900 mov eax, TSMedPF_.00896428 ; Case FFFFFFFF of switch 00896289 008962E8 |. E8 1F28D5FF call TSMedPF_.005E8B0C 008962ED |. 83F8 06 cmp eax, 6 008962F0 |. 75 0F jnz short TSMedPF_.00896301 008962F2 |. BA D4638900 mov edx, TSMedPF_.008963D4 ; ASCII "{910770DE-F4EA-4F8C-90D6-E28D78D5AFD2}" 008962F7 |. 8B03 mov eax, dword ptr [ebx] 008962F9 |. 8B40 24 mov eax, dword ptr [eax+24] 008962FC |. E8 5BB00200 call TSMedPF_.008C135C 00896301 |> 33C0 xor eax, eax ; Default case of switch 00896289 00896303 |. 5A pop edx 00896304 |. 59 pop ecx 00896305 |. 59 pop ecx 00896306 |. 64:8910 mov dword ptr fs:[eax], edx 00896309 |. 68 23638900 push TSMedPF_.00896323 0089630E |> 8D45 C8 lea eax, dword ptr [ebp-38] 00896311 |. BA 0E000000 mov edx, 0E 00896316 |. E8 39DFB6FF call TSMedPF_.00404254 0089631B \. C3 retn 0089631C .^ E9 47D8B6FF jmp TSMedPF_.00403B68 00896321 .^ EB EB jmp short TSMedPF_.0089630E 00896323 . 5F pop edi 00896324 . 5E pop esi 00896325 . 5B pop ebx 00896326 . 8BE5 mov esp, ebp |
|
[求助]初学破解遇到大难题!哪位老大帮我查查这是什么壳?
可以用这个玩艺儿脱,不过程序似乎有自校验,还好楼主你讨论的只是脱壳。 |
|
[原创]附加数据提取查看器1.2
刚试了一下,比脱壳机自动脱出来的文件多了几个字节,不了解是什么情况? |
|
[下载]OllyDbg 2.0
命令行工具好像是通过插件实现的。 |
|
[求助]新手问题:请问我的OLLYDBG跟本坛教程中的不一样?
谢了兄弟,就是你说的这个了。 |
|
[讨论]ASPack2.12的加壳标志是什么
同问! . |
|
[求助]网上抓了个过瑞星的swf。。
SWF?什么东东?flash? |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值