标题：鼠标自动点击器4.2（P-code）的爆破
作者：jney2
日期：2005.1.25
声明：个人学习，交流经验，找出软件的软肋，希望作者在下一版本中有所改进！
观念：喜欢分析注册流程，极少算法分析。

查壳，ASPack 2.12的壳，用stripper 2.07 final脱壳，运行，没反应。再查壳，VB的东东。
用Ollydbg1.1载入脱壳后的程序，F9运行，居然让我系统自动关机。程序发现自己不是被系统载入的话就会自动关机，因为我在后来的加壳后测试运行也遭受了同样的待遇。

重启，用EXEDC反编译，成功。噢，原来是P-code。看到P-code的玩意，我一般选择放弃。突然有一种想法闪过。。。

找来ASPack 2.12将脱壳后的程序再加壳，运行，成功。印证了我刚刚的想法。程序中有检查自身是否加壳，没有则退出。还好，不是自动关机。

再看看Exedc反编译出来的代码，看有没有新的发现，还让我真找着了，很容易找到：

41837F: 00 LargeBos  
418381: f4 LitI2_Byte:             0x1  1  (.)
418383: Lead2/3d Close
418385: 00 LargeBos
418387: 6c ILdRf                   local_0174
41838A: 4a FnLenStr
41838B: f5 LitI4:                  0x14  20  (....)        //这里不正是软件的试用次数20次么。
418390: e0 GeI4
418391: 1c BranchF:                41846A                   //比较判断，把这里的1c改为1e，即爆破。
418394: 00 LargeBos  
418396: f5 LitI4:                  0x3  3  (....)
41839B: f5 LitI4:                  0x0  0  (....)
4183A0: 1b LitStr:                 http://www.softreg.com.cn/shareware_view.asp?id=/6A79D162-8E4F-443F-90AF-9F86627AEDF7                                                 //主要是因为发现了这个链接，又看到了上面。运气，运气！
4183A3: 04 FLdRfVar                local_0098
4183A6: 34 CStr2Ansi  
4183A7: 6c ILdRf                   local_0098
4183AA: 1b LitStr:                 iexplore.exe
4183AD: 04 FLdRfVar                local_0090
4183B0: 34 CStr2Ansi   
4183B1: 6c ILdRf                   local_0090
4183B4: f5 LitI4:                  0x0  0  (....)
4183B9: f5 LitI4:                  0x0  0  (....)
4183BE: 0a ImpAdCallFPR4:          user32
4183C3: 3c SetLastSystemError   
4183C4: 32 FFreeStr

按上面的修改点用十六制修改工具修改后，再用ASPack 2.12将修改后的程序再加壳，运行，成功。

这个软件不大，希望哪位高手分析一下，特别是它检查自己是否加壳和是否被调试的地方。也好提高一下我们应对P-code的能力。在此先谢谢啦！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课