能力值:
( LV2,RANK:10 )
|
-
-
2 楼
跳过那个地址试试? 一点一点的来!
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
应该是个压缩壳,在CALL那一段按F8必走飞
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
试着用FI来看一下,然后用几个自动脱壳机来试试,最后反着过来推出这个壳的原理
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
尝试用注册表对比来发现记录时间的地方,发现了一处,但是发现无论是修改键值还是删除键值都无用,删除后每次运行都重新生成,把键值修改到前一天,然后把时间也调到前一天,结果还是无法运行,后来发现每运行一次软件后该键值都要变化一次~
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
找个脱壳机先脱掉再说吧
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
问题是不知道什么壳,不能对症下药
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
这个软件不是免费的吗?楼主可否提供完整一点的,不要只发个EXE,或者提供个下载地址。
|
能力值:
( LV3,RANK:20 )
|
-
-
9 楼
这个壳在一开始有个int1,应该是个陷阱中断,哪些值入栈,我不是很清楚,但把那个int1改成jump 00BAD000,虽然这样堆栈不平衡,但可以看一下后面的代码是怎么执行的
|
能力值:
( LV3,RANK:20 )
|
-
-
10 楼
00BAE004 68 00D0BA00 push 00BAD000
00BAE009 67:64:FF36 0000 push dword ptr fs:[0]
00BAE00F 67:64:8926 0000 mov dword ptr fs:[0], esp
00BAE015 F1 int1
|
能力值:
( LV3,RANK:20 )
|
-
-
11 楼
就是第一个push 00BAD000,可能你的机器和我的不一样,但只要相应的改成这个值就行了
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
之前我破解过一个时间限制的,它把时间记录到一个DLL文件中,你可以尝试备份除了EXE之外的文件,然后修改日期,看备份的文件中哪个有变化,这只是一个思路,不知道对这个程序是否适用。
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
尝试一下,没有收获
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
最近有点忙,前端时间用REGNAP对比了一下注册表,发现每运行一次程序一下6个地方就会变化一下:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:R:\dvnaybat\dvwvna\dw\钱龙机构.rkr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:::{20Q04SR0-3NRN-1069-N2Q8-08002O30309Q}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:DW.yax
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_HVFPHG
这些地方的值类型都是这样的:
New: Type: REG_BINARY Length: 16 (0x10) bytes
5C 00 00 00 8A 01 00 00 90 A4 92 6C 5C 9E CA 01 |
Old: Type: REG_BINARY Length: 16 (0x10) bytes
5C 00 00 00 8B 01 00 00 00 A7 07 20 5D 9E CA 01 |
看来从修改注册表入手是此路不通了啊
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
原版软件在钱龙官网上有,但是其中的主程序(也就是我发的那个)是经过修改的,打开了收费版的所有功能,问题是修改版的经过作者加密了,并且需要人家授权的DAT文件,有时间限制,我现在的想法是:
1.直接修改主程序,跳过时间判定
2.修改注册表的时间(目前看来算法复杂,不易攻破)
3.也是修改主程序,直接跳过读取授权文件
不知道以上三种哪种相对简单些
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
非常感谢这位朋友的帮助~
|
|
|