[原创]《不准玩游戏2005》算法分析及注册机从头说起―新增去暗桩分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]《不准玩游戏2005》算法分析及注册机从头说起―新增去暗桩分析

2005-2-19 15:39 12666

[原创]《不准玩游戏2005》算法分析及注册机从头说起―新增去暗桩分析

jackily

2005-2-19 15:39

12666

【原创】《不准玩游戏2005》算法分析及注册机从头说起（新增去暗桩分析）

                              -------手把手系列之八
【破解作者】 jackily
【作者邮箱】 jackily_zhang@msn.com
【作者主页】 http://estudy.ys168.com
【使用工具】 ollydbg、DeDe
【破解平台】 Win9x/NT/2000/XP
【软件简介】《不准玩游戏》，一款全能的控制游戏使用的软件。有效控制孩子的游戏时间，防止孩子痴迷游戏，请使用这款软件。限制玩游戏，可以设置需要限制玩的游戏和禁玩时间段，以及自定义限制某游戏。并具有纪录功能，在开启服务的情况下，纪录下使用者玩了哪些游戏。适用于家庭、办公室、网吧等场所。适合所有操作系统。界面豪华、操作简单。
      安全性极高，较难被解除禁止，可放心地用于安全性要求较高的场所。（这一点不敢苟同，文中“关于程序启动密码的

安全性问题”有分析）
【加壳方式】不知名壳，pedi查“什么都没找着  *”
【破解声明】本破解纯以学习和交流为目的，偶得一点心得，愿与大家分享：）
--------------------------------------------------------------------------------
【破解内容】

查壳，发现“什么都没找着  *”。只好手动脱壳了。用ollydbg加载，停在004E60000处，小心的跟踪如下：
004E6000 n>  9C                   pushfd
004E6001    E8 00000000          call nogame.004E6006
004E6006    5D                   pop ebp
004E6007    8BD5                mov edx,ebp
004E6009    81ED C62B4000       sub ebp,nogame.00402BC6
004E600F    2B95 61344000       sub edx,dword ptr ss:[ebp+403461]
004E6015    81EA 06000000       sub edx,6
004E601B    8995 65344000       mov dword ptr ss:[ebp+403465],edx
004E6021    83BD 69344000 00    cmp dword ptr ss:[ebp+403469],0
004E6028    0F85 BC030000       jnz nogame.004E63EA
004E602E    C785 69344000 01000000 mov dword ptr ss:[ebp+403469],1
004E6038    B9 88070000          mov ecx,788
004E603D    8DB5 182C4000       lea esi,dword ptr ss:[ebp+402C18]
004E6043    8A85 60344000       mov al,byte ptr ss:[ebp+403460]
004E6049    8A1E                mov bl,byte ptr ds:[esi]
004E604B    32C3                xor al,bl
004E604D    8806                mov byte ptr ds:[esi],al
004E604F    889D 60344000       mov byte ptr ss:[ebp+403460],bl
-------------------------------------------------------------------
004E6055    46                   inc esi                            ;下断，F9
004E6056 ^ E2 EB                loopd short nogame.004E6043
004E6058 ^ E1 B9                loopde short nogame.004E6013
004E605A    4F                   dec edi
004E605B    8B8A FEF979CC       mov ecx,dword ptr ds:[edx+CC79F9FE]
004E6061    1B3474                sbb esi,dword ptr ss:[esp+esi*2]
004E6064 - 74 8B                je short nogame.004E5FF1

-------------------------------------------------------
结果为：
004E6055    46                   inc esi                                     ; nogame.004E6058
004E6056 ^ E2 EB                loopd short nogame.004E6043
004E6058    9C                   pushfd                            ；下第二断点，F9
004E6059    B9 4F8B8AFE          mov ecx,FE8A8B4F
004E605E    F9                   stc
004E605F ^ 79 CC                jns short nogame.004E602D
--------------------------------------------------------------
结果此处代码释放完毕。
004E6055    46                   inc esi
004E6056 ^ E2 EB                loopd short nogame.004E6043
004E6058    9C                   pushfd
004E6059    58                   pop eax
004E605A    F6C4 01             test ah,1
004E605D    74 07                je short nogame.004E6066
004E605F    80B5 D72F4000 FF    xor byte ptr ss:[ebp+402FD7],0FF
......

一直跟踪至004E63DC，下断，15次F9，然后F8跟过，跳至004E6292.

004E63DC    83C6 14             add esi,14
004E63DF    8B95 65344000       mov edx,dword ptr ss:[ebp+403465]
004E63E5 ^ E9 A8FEFFFF          jmp nogame.004E6292

-----------------------------------------------
004E6292    8B46 0C             mov eax,dword ptr ds:[esi+C]
004E6295    0BC0                or eax,eax
004E6297    0F84 65010000       je nogame.004E6402             ；又跳走

----------------------------------------------
004E6402    8B95 65344000       mov edx,dword ptr ss:[ebp+403465]          ; nogame.00400000
004E6408    8B85 ED314000       mov eax,dword ptr ss:[ebp+4031ED]
004E640E    03C2                add eax,edx
004E6410    894424 1C             mov dword ptr ss:[esp+1C],eax
004E6414    61                   popad
004E6415    50                   push eax
004E6416    C3                   retn                               ；关键，返回正常代码。

---------------------------------------------------------------------
真正的入口，但此处用花指令加了密，需用Ctr+A重新分析一下。
004AEE48 /.  55                push ebp                                     ;  ntdll.77FC4D80
004AEE49 |.  8BEC                mov ebp,esp
004AEE4B |.  83C4 D4             add esp,-2C
004AEE4E |.  53                push ebx
004AEE4F |.  56                push esi
004AEE50 |.  33C0                xor eax,eax
004AEE52 |.  8945 DC             mov dword ptr ss:[ebp-24],eax
004AEE55 |.  8945 E0             mov dword ptr ss:[ebp-20],eax
004AEE58 |.  8945 E4             mov dword ptr ss:[ebp-1C],eax
004AEE5B |.  8945 E8             mov dword ptr ss:[ebp-18],eax
004AEE5E |.  8945 EC             mov dword ptr ss:[ebp-14],eax
004AEE61 |.  B8 E8EB4A00       mov eax,nogame.004AEBE8
004AEE66 |.  E8 F579F5FF       call nogame.00406860
004AEE6B |.  8B35 80164B00       mov esi,dword ptr ds:[4B1680]                ;  nogame.004B2C30
004AEE71 |.  33C0                xor eax,eax
004AEE73 |.  55                push ebp
004AEE74 |.  68 EDEF4A00       push nogame.004AEFED
004AEE79 |.  64:FF30             push dword ptr fs:[eax]
004AEE7C |.  64:8920             mov dword ptr fs:[eax],esp
004AEE7F |.  8B06                mov eax,dword ptr ds:[esi]

用ollydump插件dump，OEP为004AEE48。但此时IAT还需修复。退出ollydbg，用RECImport载入未脱壳的程序，填入OEP，即004AEE48，点“IAT

自动搜索”，点“获取输入信息”，最后“修理抓取文件”。此时弹出一对话框，选取已经脱壳的程序，修复完毕。

--------------------------------------------------------------------
用PEID再查，为“Delphi 5.0-6.0”。加载DeDe，处理，点过程，在TForm6中发现注册码输入部分，如下：
004AC9CC 55                   push ebp
004AC9CD 8BEC                mov    ebp, esp
004AC9CF 33C9                xor    ecx, ecx
004AC9D1 51                   push ecx
004AC9D2 51                   push ecx
004AC9D3 51                   push ecx
004AC9D4 51                   push ecx
004AC9D5 51                   push ecx
004AC9D6 51                   push ecx
004AC9D7 53                   push ebx
004AC9D8 56                   push esi
004AC9D9 8BD8                mov    ebx, eax
004AC9DB 33C0                xor    eax, eax
004AC9DD 55                   push ebp
* Possible String Reference to: '橛s?胨^[?]?
|
004AC9DE 6820CB4A00          push $004ACB20
***** TRY
|
004AC9E3 64FF30                push dword ptr fs:[eax]
004AC9E6 648920                mov    fs:[eax], esp
004AC9E9 8D55FC                lea    edx, [ebp-$04]
* Reference to control TForm6.Edit2 : TEdit
|
004AC9EC 8B83FC020000          mov    eax, [ebx+$02FC]
* Reference to: Controls.TControl.GetText(TControl):TCaption;
|
004AC9F2 E88964F9FF          call 00442E80                ; 取用户名
004AC9F7 837DFC00             cmp    dword ptr [ebp-$04], +$00 ；相等，则没输入名字
004AC9FB 751E                jnz    004ACA1B                ；不等，继续下一步
004AC9FD 6A40                push $40
004AC9FF 6830CB4A00          push $004ACB30
* Possible String Reference to: '请输入您的注册名'
|
004ACA04 6834CB4A00          push $004ACB34
004ACA09 8BC3                mov    eax, ebx
* Reference to: Controls.TWinControl.GetHandle(TWinControl):HWND;
|
004ACA0B E81CCCF9FF          call 0044962C
004ACA10 50                   push eax
* Reference to: ?MessageBoxA()
|
004ACA11 E86AA8F5FF          call 00407280
004ACA16 E9CA000000          jmp    004ACAE5
004ACA1B 8D55F8                lea    edx, [ebp-$08]
* Reference to control TForm6.Edit1 : TEdit
|
004ACA1E 8B83F4020000          mov    eax, [ebx+$02F4]
* Reference to: Controls.TControl.GetText(TControl):TCaption;
|
004ACA24 E85764F9FF          call 00442E80          ；取注册码
004ACA29 837DF800             cmp    dword ptr [ebp-$08], +$00 ；；相等，则没输入名字
004ACA2D 751E                jnz    004ACA4D          ；不等，继续下一步
004ACA2F 6A40                push $40
004ACA31 6830CB4A00          push $004ACB30
* Possible String Reference to: '请输入您的注册名码'
|
004ACA36 6848CB4A00          push $004ACB48
004ACA3B 8BC3                mov    eax, ebx
* Reference to: Controls.TWinControl.GetHandle(TWinControl):HWND;
|
004ACA3D E8EACBF9FF          call 0044962C
004ACA42 50                   push eax
* Reference to: ?MessageBoxA()
|
004ACA43 E838A8F5FF          call 00407280
004ACA48 E998000000          jmp    004ACAE5
004ACA4D B201                mov    dl, $01
* Reference to class TRegistry                ；以下为将姓名和注册码写入注册表\SOFTWARE\ExeSoft\NoGame中
|
004ACA4F A1C0B24600          mov    eax, dword ptr [$0046B2C0]
* Reference to: Unit_0046B260.Proc_0046B3C0
|
004ACA54 E867E9FBFF          call 0046B3C0
004ACA59 8BF0                mov    esi, eax
004ACA5B BA02000080          mov    edx, $80000002
004ACA60 8BC6                mov    eax, esi
* Reference to: Unit_0046B260.Proc_0046B460
|
004ACA62 E8F9E9FBFF          call 0046B460
004ACA67 B101                mov    cl, $01
* Possible String Reference to: '\SOFTWARE\ExeSoft\NoGame'
|
004ACA69 BA64CB4A00          mov    edx, $004ACB64
004ACA6E 8BC6                mov    eax, esi
* Reference to: Unit_0046B260.Proc_0046B4C4
|
004ACA70 E84FEAFBFF          call 0046B4C4
004ACA75 8D55F0                lea    edx, [ebp-$10]
* Reference to control TForm6.Edit2 : TEdit
|
004ACA78 8B83FC020000          mov    eax, [ebx+$02FC]
* Reference to: Controls.TControl.GetText(TControl):TCaption;
|
004ACA7E E8FD63F9FF          call 00442E80
004ACA83 8B45F0                mov    eax, [ebp-$10]
004ACA86 8D55F4                lea    edx, [ebp-$0C]
* Reference to: Unit_004079B0.Proc_004088DC
|
004ACA89 E84EBEF5FF          call 004088DC
004ACA8E 8B4DF4                mov    ecx, [ebp-$0C]
004ACA91 BA88CB4A00          mov    edx, $004ACB88
004ACA96 8BC6                mov    eax, esi
* Reference to: Unit_0046B260.Proc_0046B680
|
004ACA98 E8E3EBFBFF          call 0046B680
004ACA9D 8D55E8                lea    edx, [ebp-$18]
* Reference to control TForm6.Edit1 : TEdit
|
004ACAA0 8B83F4020000          mov    eax, [ebx+$02F4]
* Reference to: Controls.TControl.GetText(TControl):TCaption;
|
004ACAA6 E8D563F9FF          call 00442E80
004ACAAB 8B45E8                mov    eax, [ebp-$18]
004ACAAE 8D55EC                lea    edx, [ebp-$14]
* Reference to: Unit_004079B0.Proc_004088DC
|
004ACAB1 E826BEF5FF          call 004088DC
004ACAB6 8B4DEC                mov    ecx, [ebp-$14]
004ACAB9 BA94CB4A00          mov    edx, $004ACB94
004ACABE 8BC6                mov    eax, esi
* Reference to: Unit_0046B260.Proc_0046B680
|
004ACAC0 E8BBEBFBFF          call 0046B680
004ACAC5 6A40                push $40
004ACAC7 6830CB4A00          push $004ACB30
* Possible String Reference to: '感谢您的注册，请重新启动本软件。' ，重启动提示
|
004ACACC 6898CB4A00          push $004ACB98
004ACAD1 8BC3                mov    eax, ebx
* Reference to: Controls.TWinControl.GetHandle(TWinControl):HWND;
|
004ACAD3 E854CBF9FF          call 0044962C
004ACAD8 50                   push eax
* Reference to: ?MessageBoxA()
|
004ACAD9 E8A2A7F5FF          call 00407280
004ACADE 8BC3                mov    eax, ebx

......此处代码省略

****** END
|
004ACB27 5E                   pop    esi
004ACB28 5B                   pop    ebx
004ACB29 8BE5                mov    esp, ebp
004ACB2B 5D                   pop    ebp
004ACB2C C3                   ret
---------------------------------------

经分析，发现，上述代码只是将用户名和注册码写入注册表\SOFTWARE\ExeSoft\NoGame中，并没其它操作，于是加载ollydbg，用Ultra String

Reference搜索ASCII字符，找到“已注册给”，地址是004AE638 mov edx,GA_.004AE87C，双击定位，整个调用代码如下：

004AE4A0 /.  55                push ebp
004AE4A1 |.  8BEC                mov ebp,esp
004AE4A3 |.  83C4 B4             add esp,-4C
004AE4A6 |.  53                push ebx
004AE4A7 |.  56                push esi
004AE4A8 |.  57                push edi
004AE4A9 |.  33C9                xor ecx,ecx
004AE4AB |.  894D E0             mov dword ptr ss:[ebp-20],ecx
004AE4AE |.  894D E4             mov dword ptr ss:[ebp-1C],ecx
004AE4B1 |.  894D E8             mov dword ptr ss:[ebp-18],ecx
004AE4B4 |.  894D EC             mov dword ptr ss:[ebp-14],ecx
004AE4B7 |.  894D F4             mov dword ptr ss:[ebp-C],ecx
004AE4BA |.  894D F0             mov dword ptr ss:[ebp-10],ecx
004AE4BD |.  894D F8             mov dword ptr ss:[ebp-8],ecx
004AE4C0 |.  894D FC             mov dword ptr ss:[ebp-4],ecx
004AE4C3 |.  8BF0                mov esi,eax
004AE4C5 |.  33C0                xor eax,eax
004AE4C7 |.  55                push ebp
004AE4C8 |.  68 4CE74A00       push GA_.004AE74C
004AE4CD |.  64:FF30             push dword ptr fs:[eax]
004AE4D0 |.  64:8920             mov dword ptr fs:[eax],esp
004AE4D3 |.  68 5CE74A00       push GA_.004AE75C                ; /Title = ""
004AE4D8 |.  68 60E74A00       push GA_.004AE760                ; |Class = "Tjianshiform"
004AE4DD |.  E8 2E8BF5FF       call <jmp.&user32.FindWindowA>    ; \FindWindowA
004AE4E2 |.  85C0                test eax,eax
004AE4E4 |.  75 40             jnz short GA_.004AE526
004AE4E6 |.  BA 78E74A00       mov edx,GA_.004AE778

.................此处非关键代码省略

004AE5F3 |.  E8 F8F0FFFF       call GA_.004AD6F0
004AE5F8 |.  8D45 EC             lea eax,dword ptr ss:[ebp-14]
004AE5FB |.  BA 34E84A00       mov edx,GA_.004AE834             ;  ASCII "No!log.lnk"
004AE600 |.  E8 0B61F5FF       call GA_.00404710
004AE605 |.  8B55 EC             mov edx,dword ptr ss:[ebp-14]
004AE608 |.  8BC3                mov eax,ebx
004AE60A |.  8B08                mov ecx,dword ptr ds:[eax]
004AE60C |.  FF51 74             call dword ptr ds:[ecx+74]
004AE60F |.  8BC3                mov eax,ebx
004AE611 |.  E8 CE50F5FF       call GA_.004036E4             ；取注册表中的注册码
004AE616 |.  A1 742D4B00       mov eax,dword ptr ds:[4B2D74] ；地址放入EAX
004AE61B |.  E8 E860F5FF       call GA_.00404708             ；取注册码长度
004AE620 |.  83F8 08             cmp eax,8                      ；是否为8
004AE623    75 45             jnz short GA_.004AE66A          ；不符，跳走，没注册成功，试用此软件
004AE625 |.  A1 742D4B00       mov eax,dword ptr ds:[4B2D74] ；取第一个字符
004AE62A |.  8038 4D             cmp byte ptr ds:[eax],4D       ；是否为M（HEX值为4D）
004AE62D |.  75 3B             jnz short GA_.004AE66A          ；否，没注册成功
004AE62F |.  8D45 E8             lea eax,dword ptr ss:[ebp-18] ；
004AE632 |.  8B0D 782D4B00       mov ecx,dword ptr ds:[4B2D78]    ; 用户名地址给ECX
004AE638 |.  BA 7CE84A00       mov edx,GA_.004AE87C          ；ASCII字符，“已注册给”
004AE63D |.  E8 1261F5FF       call GA_.00404754             ；取用户名长度
004AE642 |.  8B55 E8             mov edx,dword ptr ss:[ebp-18]
004AE645 |.  8B86 A0030000       mov eax,dword ptr ds:[esi+3A0]
004AE64B |.  E8 6048F9FF       call GA_.00442EB0
004AE650 |.  B2 01             mov dl,1
004AE652 |.  8B86 A0030000       mov eax,dword ptr ds:[esi+3A0]
004AE658 |.  E8 4347F9FF       call GA_.00442DA0
004AE65D |.  33D2                xor edx,edx
004AE65F |.  8B86 2C030000       mov eax,dword ptr ds:[esi+32C]
004AE665 |.  E8 6649F9FF       call GA_.00442FD0
004AE66A |>  8D45 E4             lea eax,dword ptr ss:[ebp-1C]
004AE66D |.  8B15 742D4B00       mov edx,dword ptr ds:[4B2D74] ；注册码地址放入EAX
004AE673 |.  8A52 01             mov dl,byte ptr ds:[edx+1]    ；取注册码第二个字符
004AE676 |.  E8 B55FF5FF       call GA_.00404630             ；进行验证,是否为整形值
004AE67B |.  8B45 E4             mov eax,dword ptr ss:[ebp-1C]
004AE67E |.  E8 D9A4F5FF       call GA_.00408B5C
004AE683 |.  8BD8                mov ebx,eax
004AE685 |.  8D45 E0             lea eax,dword ptr ss:[ebp-20]
004AE688 |.  8B15 742D4B00       mov edx,dword ptr ds:[4B2D74]
004AE68E |.  8A52 05             mov dl,byte ptr ds:[edx+5]    ；取注册码第六个字符
004AE691 |.  E8 9A5FF5FF       call GA_.00404630             ；进行验证，最否为整形值
004AE696 |.  8B45 E0             mov eax,dword ptr ss:[ebp-20]
004AE699 |.  E8 BEA4F5FF       call GA_.00408B5C
004AE69E |.  8BF8                mov edi,eax                   ；第六个字符值给EDI
004AE6A0 |.  8D47 03             lea eax,dword ptr ds:[edi+3] ；EDI+3=？（HEX)
]004AE6A3 |.  8945 DC             mov dword ptr ss:[ebp-24],eax  以下是浮点运算，较关键的一步在004AE71F处，下一

小节说明
004AE6A6 |.  DB45 DC             fild dword ptr ss:[ebp-24] ；装入整数到st(0)
004AE6A9 |.  D9FA                fsqrt                   ；平方根， st(0) <- sqrt st(0)
004AE6AB |.  DB7D D0             fstp tbyte ptr ss:[ebp-30]  ；保存实数st(0)到]ebp-30]
004AE6AE |.  9B                wait
004AE6AF |.  8D47 03             lea eax,dword ptr ds:[edi+3]
004AE6B2 |.  8945 CC             mov dword ptr ss:[ebp-34],eax
004AE6B5 |.  DB45 CC             fild dword ptr ss:[ebp-34]
004AE6B8 |.  D9FA                fsqrt
004AE6BA |.  8BC3                mov eax,ebx                   ；ebx就是注册码的第二位
004AE6BC |.  F7EB                imul ebx                      ;eax乘ebx
004AE6BE |.  03C3                add eax,ebx
004AE6C0 |.  8945 C8             mov dword ptr ss:[ebp-38],eax
004AE6C3 |.  DB45 C8             fild dword ptr ss:[ebp-38]    ；装入st(1)
004AE6C6 |.  DEC1                faddp st(1),st                ;  st(1)+st(0)
004AE6C8 |.  DB6D D0             fld tbyte ptr ss:[ebp-30]
004AE6CB |.  DEC9                fmulp st(1),st                   ; 相乘
004AE6CD |.  8BC3                mov eax,ebx
004AE6CF |.  F7EB                imul ebx
004AE6D1 |.  F7EB                imul ebx
004AE6D3 |.  F7EB                imul ebx
004AE6D5 |.  8BD3                mov edx,ebx
004AE6D7 |.  03D2                add edx,edx
004AE6D9 |.  0FAFD3             imul edx,ebx
004AE6DC |.  0FAFD3             imul edx,ebx
004AE6DF |.  03C2                add eax,edx
004AE6E1 |.  8BD3                mov edx,ebx
004AE6E3 |.  0FAFD3             imul edx,ebx
004AE6E6 |.  03C2                add eax,edx
004AE6E8 |.  8945 C4             mov dword ptr ss:[ebp-3C],eax
004AE6EB |.  DB45 C4             fild dword ptr ss:[ebp-3C]
004AE6EE |.  D835 88E84A00       fdiv dword ptr ds:[4AE888]    ; 除以实数"4",定值
004AE6F4 |.  D805 8CE84A00       fadd dword ptr ds:[4AE88C]    ; 加上“3”
004AE6FA |.  DEC1                faddp st(1),st
004AE6FC |.  DB7D B8             fstp tbyte ptr ss:[ebp-48]
004AE6FF |.  9B                wait
004AE700 |.  83C7 03             add edi,3
004AE703 |.  897D B4             mov dword ptr ss:[ebp-4C],edi
004AE706 |.  DB45 B4             fild dword ptr ss:[ebp-4C]
004AE709 |.  D9FA                fsqrt
004AE70B |.  D80D 90E84A00       fmul dword ptr ds:[4AE890]  ; 乘上实数“12”
004AE711 |.  DB6D B8             fld tbyte ptr ss:[ebp-48]
004AE714 |.  DEE1                fsubrp st(1),st          ; st(1)-st(0)
004AE716 |.  D81D 8CE84A00       fcomp dword ptr ds:[4AE88C] ；比较
004AE71C |.  DFE0                fstsw ax                      ；保存状态字的值到AX
004AE71E |.  9E                sahf                         ；（PSW低字节）←AH
004AE71F |.  75 10             jnz short GA_.004AE731
004AE721 |.  BA 9CE84A00       mov edx,GA_.004AE89C             ;  ASCII "AB"，此处也是关键，以后还会校验
004AE726 |.  8B86 A4030000       mov eax,dword ptr ds:[esi+3A4]
004AE72C |.  E8 7F47F9FF       call GA_.00442EB0
004AE731 |>  33C0                xor eax,eax
004AE733 |.  5A                pop edx
004AE734 |.  59                pop ecx
004AE735 |.  59                pop ecx
004AE736 |.  64:8910             mov dword ptr fs:[eax],edx
004AE739 |.  68 53E74A00       push GA_.004AE753
004AE73E |>  8D45 E0             lea eax,dword ptr ss:[ebp-20]
004AE741 |.  BA 08000000       mov edx,8
004AE746 |.  E8 295DF5FF       call GA_.00404474
004AE74B \.  C3                retn

--------------------------------------------------------------------------------
此小节为新增部分：
分析到这，好像是结束了，但其实还未完，在程序稍后一些的地方还有校验，如下：

004AE9F4 /.  55                push ebp
004AE9F5 |.  8BEC                mov ebp,esp
004AE9F7 |.  6A 00             push 0
004AE9F9 |.  6A 00             push 0
004AE9FB |.  53                push ebx
004AE9FC |.  56                push esi
004AE9FD |.  8BD8                mov ebx,eax
004AE9FF |.  33C0                xor eax,eax
004AEA01 |.  55                push ebp
004AEA02 |.  68 ACEA4A00       push GA_.004AEAAC
004AEA07 |.  64:FF30             push dword ptr fs:[eax]
004AEA0A |.  64:8920             mov dword ptr fs:[eax],esp
004AEA0D |.  A1 742D4B00       mov eax,dword ptr ds:[4B2D74] ; 注册码
004AEA12 |.  8078 02 33          cmp byte ptr ds:[eax+2],33    ；第三位为3
004AEA16 |.  75 48             jnz short GA_.004AEA60
004AEA18 |.  A1 742D4B00       mov eax,dword ptr ds:[4B2D74]
004AEA1D |.  8078 03 51          cmp byte ptr ds:[eax+3],51    ；第4位为Q
004AEA21 |.  75 3D             jnz short GA_.004AEA60
004AEA23 |.  8D55 FC             lea edx,dword ptr ss:[ebp-4] ;还记得004AE71F处的ASCII码“AB”吗？
004AEA26 |.  8B83 A4030000       mov eax,dword ptr ds:[ebx+3A4]
004AEA2C |.  E8 4F44F9FF       call GA_.00442E80             ；换算，
004AEA31 |.  8B45 FC             mov eax,dword ptr ss:[ebp-4]
004AEA34 |.  0FB630             movzx esi,byte ptr ds:[eax]    ；此时，ESI为“A”
004AEA37 |.  8D55 F8             lea edx,dword ptr ss:[ebp-8]
004AEA3A |.  8B83 A4030000       mov eax,dword ptr ds:[ebx+3A4]
004AEA40 |.  E8 3B44F9FF       call GA_.00442E80
004AEA45 |.  8B45 F8             mov eax,dword ptr ss:[ebp-8]
004AEA48 |.  0FB640 01          movzx eax,byte ptr ds:[eax+1] ；此时，ESI为“B”
004AEA4C |.  2BF0                sub esi,eax                   ；A-B=-1
004AEA4E |.  46                inc esi                      ;-1+1=0
004AEA4F |.  75 0F             jnz short GA_.004AEA60          ；不等0跳至7天比较处
004AEA51 |.  B8 742D4B00       mov eax,GA_.004B2D74             ；等于0，注册成功
004AEA56 |.  BA C4EA4A00       mov edx,GA_.004AEAC4             ;  ASCII "renxi"
004AEA5B |.  E8 445AF5FF       call GA_.004044A4
004AEA60 |>  83BB AC030000 07    cmp dword ptr ds:[ebx+3AC],7       ；7天比较处
004AEA67 |.  7E 28             jle short GA_.004AEA91
004AEA69 |.  A1 742D4B00       mov eax,dword ptr ds:[4B2D74]
004AEA6E |.  BA C4EA4A00       mov edx,GA_.004AEAC4             ;  ASCII "renxi"
004AEA73 |.  E8 D45DF5FF       call GA_.0040484C
004AEA78 |.  74 17             je short GA_.004AEA91
004AEA7A |.  33D2                xor edx,edx
004AEA7C |.  8B83 0C030000       mov eax,dword ptr ds:[ebx+30C]
004AEA82 |.  8B08                mov ecx,dword ptr ds:[eax]
004AEA84 |.  FF51 64             call dword ptr ds:[ecx+64]
004AEA87 |.  B8 D4EA4A00       mov eax,GA_.004AEAD4
004AEA8C |.  E8 D7D4F8FF       call GA_.0043BF68
004AEA91 |>  33C0                xor eax,eax
004AEA93 |.  5A                pop edx
004AEA94 |.  59                pop ecx
004AEA95 |.  59                pop ecx
004AEA96 |.  64:8910             mov dword ptr fs:[eax],edx
004AEA99 |.  68 B3EA4A00       push GA_.004AEAB3
004AEA9E |>  8D45 F8             lea eax,dword ptr ss:[ebp-8]
004AEAA1 |.  BA 02000000       mov edx,2
004AEAA6 |.  E8 C959F5FF       call GA_.00404474
004AEAAB \.  C3                retn

-----------------------------------------------------------------------------------------

【破解总结】
一、心得
1.首先用户名没有进行计算；
2.对注册码检验其第一、第三、第四位是否为定值，且第二位和第六位的换算结果要满足004AEA3处浮点运算的条件；
3.对第六位进行了浮点运算，以判断是否为真正的注册码。
新增部分：
二、注册条件：
1.第一位必须是“M”，第三位是“3”，第四位是“Q”；
2.第二和第六位的值经过计算，最终要fcomp dword ptr ds:[4AE88C]，[4AE88C]中为固定值“3”，这样才能真正成功。
--------------------------------------------------------------------------------
【算法注册机】

/*Nogame c语言注册机 */
/* 在Turboc 2.0 下调试通过  */
#include "stdio.h"
#include "string.h"
#include "stdlib.h"
main()
{
char name[50]={0} ,s[8];
int i,j;
float a,b,c,d,e,f,temp,temp1,temp2,temp3;

  printf("Nogame KeyGen by jackily 2005-2-18\n");
  printf("Email:jackily_zhang@msn.com or jackily_zhang@yahoo.com.cn\n");
  printf("please input name:");
  scanf("%s",name);
  s[0]=0x4d;s[2]=0x33;s[3]=0x51;
  for (i=1;i<10;i++)
  { s[1]=i;
  for (j=1;j<10;j++)
{s[5]=j;  c=j;
c+=3;
a=sqrt(c);
   b=i; d=pow(b,3); b+=d;
   temp1=a+b; temp1*=c;
   b=i;
   e=b+b; f=pow(b,2);f*=e;
   temp2=d+f;temp2+=e;temp2/=4;temp2+=3;
   temp=temp1+temp2;
   temp3=a*0xc;
   if ((temp-temp3)==3.000000) break;
   }
}

  s[4]=random(0x40);s[6]=random(0x40);s[7]=random(0x40);

  printf("\nYour serial number is:");

for (i=0;i<8;i++)
printf("%c",s[i]);

}
--------------------------------------------------------------------------------

【关于程序启动密码的安全性问题】

软件简介中提到“安全性极高，较难被解除禁止，可放心地用于安全性要求较高的场所”，但其实在如下代码中很容易就可以将其启动密码爆

破或是提取。
004ADA8B |.  BA 18DE4A00       mov edx,GA_.004ADE18             ;  ASCII "\SOFTWARE\ExeSoft\NoGame"
004ADA90 |.  8BC3                mov eax,ebx
004ADA92 |.  E8 2DDAFBFF       call GA_.0046B4C4
004ADA97 |.  8D4D D8             lea ecx,dword ptr ss:[ebp-28]
004ADA9A |.  BA 3CDE4A00       mov edx,GA_.004ADE3C
004ADA9F |.  8BC3                mov eax,ebx
004ADAA1 |.  E8 06DCFBFF       call GA_.0046B6AC
004ADAA6 |.  8B55 D8             mov edx,dword ptr ss:[ebp-28]
004ADAA9 |.  B8 742D4B00       mov eax,GA_.004B2D74
004ADAAE |.  E8 F169F5FF       call GA_.004044A4
004ADAB3 |.  A1 742D4B00       mov eax,dword ptr ds:[4B2D74]
004ADAB8 |.  E8 4B6CF5FF       call GA_.00404708
004ADABD |.  83F8 08             cmp eax,8
004ADAC0 |.  74 0F             je short GA_.004ADAD1
004ADAC2 |.  B8 742D4B00       mov eax,GA_.004B2D74
004ADAC7 |.  BA 48DE4A00       mov edx,GA_.004ADE48             ;  ASCII "00000000"
004ADACC |.  E8 D369F5FF       call GA_.004044A4
004ADAD1 |>  8D4D D4             lea ecx,dword ptr ss:[ebp-2C]
004ADAD4 |.  BA 5CDE4A00       mov edx,GA_.004ADE5C
004ADAD9 |.  8BC3                mov eax,ebx
004ADADB |.  E8 CCDBFBFF       call GA_.0046B6AC
004ADAE0 |.  8B55 D4             mov edx,dword ptr ss:[ebp-2C]
004ADAE3 |.  B8 782D4B00       mov eax,GA_.004B2D78
004ADAE8 |.  E8 B769F5FF       call GA_.004044A4
004ADAED |.  8BC3                mov eax,ebx
004ADAEF |.  E8 F05BF5FF       call GA_.004036E4
004ADAF4 |.  837D EC 00          cmp dword ptr ss:[ebp-14],0    ;[ebp-14]中存放程序启动密码（明码）
004ADAF8 |.  74 70             je short GA_.004ADB6A
004ADAFA |.  8B0D 80164B00       mov ecx,dword ptr ds:[4B1680]    ;  GA_.004B2C30
004ADB00 |.  8B09                mov ecx,dword ptr ds:[ecx]
004ADB02 |.  B2 01             mov dl,1
004ADB04 |.  A1 DCC04A00       mov eax,dword ptr ds:[4AC0DC]
004ADB09 |.  E8 C2E9FAFF       call GA_.0045C4D0
004ADB0E |.  8B15 38164B00       mov edx,dword ptr ds:[4B1638]    ;  GA_.004B2D50
004ADB14 |.  8902                mov dword ptr ds:[edx],eax
004ADB16 |.  A1 38164B00       mov eax,dword ptr ds:[4B1638]
004ADB1B |.  8B00                mov eax,dword ptr ds:[eax]
004ADB1D |.  05 FC020000       add eax,2FC
004ADB22 |.  8B55 EC             mov edx,dword ptr ss:[ebp-14]
004ADB25 |.  E8 7A69F5FF       call GA_.004044A4
004ADB2A |.  A1 38164B00       mov eax,dword ptr ds:[4B1638]
004ADB2F |.  8B00                mov eax,dword ptr ds:[eax]
004ADB31 |.  8B10                mov edx,dword ptr ds:[eax]
004ADB33 |.  FF92 E8000000       call dword ptr ds:[edx+E8]       ;  GA_.004607BC ,调用密码窗口,判断输入码与密码是否相等
004ADB39 |.  A1 38164B00       mov eax,dword ptr ds:[4B1638]
004ADB3E |.  8B00                mov eax,dword ptr ds:[eax]
004ADB40 |.  8B80 FC020000       mov eax,dword ptr ds:[eax+2FC]    ；相等，则在此放入标志“yes,exesoft”
004ADB46 |.  BA 68DE4A00       mov edx,GA_.004ADE68             ;  ASCII "yes,exesoft"
004ADB4B |.  E8 FC6CF5FF       call GA_.0040484C                ；判断上两行的标志是否相同，
004ADB50 |.  74 18             je short GA_.004ADB6A             ；验证通过
....................没有通过则退出

只要在004ADAF8处跳转，启动密码就失效了；或者直接D ebp-14，提取启动密码。

                        jackily
                        二零零五年二月十九日

--------------------------------------------------------------------------------
【版权声明】本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

收藏・0

点赞・7

打赏

最新回复 (24)
zmw1224 雪币： 244 活跃值： (265) 能力值： ( LV9，RANK：250 ) 在线值：发帖 8 回帖 86 粉丝 0 关注私信	zmw1224 6 2005-2-19 15:44 2 楼 0 支持!,脱壳可用ESP定理，二秒就搞定了。
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 2005-2-19 15:55 3 楼 0 记得这似乎是个压缩壳 BTW:上次我看他的算法，输入的注册码是M1234567（只记得第一位是M，后面是数字），不过是伪注册
zmw1224 雪币： 244 活跃值： (265) 能力值： ( LV9，RANK：250 ) 在线值：发帖 8 回帖 86 粉丝 0 关注私信	zmw1224 6 2005-2-19 16:10 4 楼 0 汗！
zmw1224 雪币： 244 活跃值： (265) 能力值： ( LV9，RANK：250 ) 在线值：发帖 8 回帖 86 粉丝 0 关注私信	zmw1224 6 2005-2-19 16:17 5 楼 0 M23Q5678，注册码为8位第一位必须M，第三位必须为3，第四位必须为Q，其它为数字！
jackily 雪币： 265 活跃值： (430) 能力值： ( LV9，RANK：370 ) 在线值：发帖 11 回帖 70 粉丝 0 关注私信	jackily 9 2005-2-19 16:30 6 楼 0 最初由 zmw1224 发布 M23Q5678，注册码为8位第一位必须M，第三位必须为3，第四位必须为Q，其它为数字！汗，也注意到了，正在改哟。
jackily 雪币： 265 活跃值： (430) 能力值： ( LV9，RANK：370 ) 在线值：发帖 11 回帖 70 粉丝 0 关注私信	jackily 9 2005-2-19 16:32 7 楼 0 最初由 zmw1224 发布支持!,脱壳可用ESP定理，二秒就搞定了。能否详细说明啊？学习一下！
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 2005-2-19 16:38 8 楼 0 最初由 jackily 发布能否详细说明啊？学习一下！ OD载入，F8一次，然后下命令hr 12FFC0，F9，断下后，两次F8，脱壳
zmw1224 雪币： 244 活跃值： (265) 能力值： ( LV9，RANK：250 ) 在线值：发帖 8 回帖 86 粉丝 0 关注私信	zmw1224 6 2005-2-19 16:48 9 楼 0 OD载入停在入口处： 004E6000 > 9C PUSHFD 004E6001 E8 00000000 CALL nogame.004E6006 004E6006 5D POP EBP 004E6007 8BD5 MOV EDX,EBP 004E6009 81ED C62B4000 SUB EBP,nogame.00402BC6 004E600F 2B95 61344000 SUB EDX,DWORD PTR SS:[EBP+403461] 004E6015 81EA 06000000 SUB EDX,6 004E601B 8995 65344000 MOV DWORD PTR SS:[EBP+403465],EDX 004E6021 83BD 69344000 0>CMP DWORD PTR SS:[EBP+403469],0 004E6028 0F85 BC030000 JNZ nogame.004E63EA F8走一步，ESP变为0013FFC0,在0013FFC0下硬件断点，F9运行停在下面： 004E63FC FF95 D5314000 CALL DWORD PTR SS:[EBP+4031D5] 004E6402 8B95 65344000 MOV EDX,DWORD PTR SS:[EBP+403465] 004E6408 8B85 ED314000 MOV EAX,DWORD PTR SS:[EBP+4031ED] 004E640E 03C2 ADD EAX,EDX 004E6410 894424 1C MOV DWORD PTR SS:[ESP+1C],EAX 004E6414 61 POPAD 004E6415 50 PUSH EAX 断在这。取消硬件硬点。 ; 004E6416 C3 RETN 返回RETN就ok. 004AEE48 55 PUSH EBP ; ntdll.7C930738 004AEE49 8BEC MOV EBP,ESP 004AEE4B 83C4 D4 ADD ESP,-2C 004AEE4E 53 PUSH EBX 004AEE4F 56 PUSH ESI 004AEE50 33C0 XOR EAX,EAX 004AEE52 8945 DC MOV DWORD PTR SS:[EBP-24],EAX 004AEE55 8945 E0 MOV DWORD PTR SS:[EBP-20],EAX 004AEE58 8945 E4 MOV DWORD PTR SS:[EBP-1C],EAX 004AEE5B 8945 E8 MOV DWORD PTR SS:[EBP-18],EAX 004AEE5E 8945 EC MOV DWORD PTR SS:[EBP-14],EAX 还有更快的方法就是用PEiD插件Generic unpacker直接脱，再YES就收工了！
jackily 雪币： 265 活跃值： (430) 能力值： ( LV9，RANK：370 ) 在线值：发帖 11 回帖 70 粉丝 0 关注私信	jackily 9 2005-2-19 16:49 10 楼 0 最初由 Winter-Night 发布 OD载入，F8一次，然后下命令hr 12FFC0，F9，断下后，两次F8，脱壳对脱壳一窍不通，hr 12FFc0，为什么？
jackily 雪币： 265 活跃值： (430) 能力值： ( LV9，RANK：370 ) 在线值：发帖 11 回帖 70 粉丝 0 关注私信	jackily 9 2005-2-19 16:53 11 楼 0 最初由 zmw1224 发布 OD载入停在入口处： F8走一步，ESP变为0013FFC0,在0013FFC0下硬件断点，F9运行停在下面： 004E63FC FF95 D5314000 CALL DWORD PTR SS:[EBP+4031D5] 004E6402 8B95 65344000 MOV EDX,DWORD PTR SS:[EBP+403465] 004E6408 8B85 ED314000 MOV EAX,DWORD PTR SS:[EBP+4031ED] 004E640E 03C2 ADD EAX,EDX 004E6410 894424 1C MOV DWORD PTR SS:[ESP+1C],EAX 004E6414 61 POPAD 004E6415 50 PUSH EAX 断在这。取消硬件硬点。 ; 004E6416 C3 RETN 返回RETN就ok. ........ 先谢！再问，此壳是什么壳啊？
zmw1224 雪币： 244 活跃值： (265) 能力值： ( LV9，RANK：250 ) 在线值：发帖 8 回帖 86 粉丝 0 关注私信	zmw1224 6 2005-2-19 16:57 12 楼 0 作者自己写的壳。
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 2005-2-19 16:59 13 楼 0 此时我这边ESp为12ffc0，根据ESp定律，这样脱比较简单。
jackily 雪币： 265 活跃值： (430) 能力值： ( LV9，RANK：370 ) 在线值：发帖 11 回帖 70 粉丝 0 关注私信	jackily 9 2005-2-19 17:01 14 楼 0 最初由 zmw1224 发布还有更快的方法就是用PEiD插件Generic unpacker直接脱，再YES就收工了！作者自己写的壳。学习了！呵呵！
jackily 雪币： 265 活跃值： (430) 能力值： ( LV9，RANK：370 ) 在线值：发帖 11 回帖 70 粉丝 0 关注私信	jackily 9 2005-2-19 17:13 15 楼 0 最初由 Winter-Night 发布此时我这边ESp为12ffc0，根据ESp定律，这样脱比较简单。我的脱壳功夫实在欠佳，有些问题很幼稚，呵呵。以前都是用的脱壳机，这回学习了不少，谢谢！
laoqian 雪币： 332 活跃值： (479) 能力值： ( LV9，RANK：330 ) 在线值：发帖 43 回帖 805 粉丝 28 关注私信	laoqian 8 2005-2-19 17:28 16 楼 0 精彩，再完善一下，可以加精啊
冷静雪币： 106 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 69 粉丝 1 关注私信	冷静 2005-2-20 10:45 17 楼 0 手动会让你学到很多的啦。呵呵。
Saver 雪币： 538 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 289 粉丝 0 关注私信	Saver 2005-2-20 11:41 18 楼 0 我是来学习的,太强了
jackily 雪币： 265 活跃值： (430) 能力值： ( LV9，RANK：370 ) 在线值：发帖 11 回帖 70 粉丝 0 关注私信	jackily 9 2005-2-20 11:53 19 楼 0 新增了算法校验的分析，再次欢迎指正！
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1873 粉丝 7 关注私信	prince 16 2005-2-20 14:23 20 楼 0 jackily兄动作好快啊~
渔夫雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 26 粉丝 0 关注私信	渔夫 2005-2-20 17:28 21 楼 0 这个软件经测试是个骗局，不能锁定任何游戏。不知在别的机子上是否可行。
yijun8354 雪币： 1711 活跃值： (711) 能力值： ( LV9，RANK：490 ) 在线值：发帖 22 回帖 783 粉丝 1 关注私信	yijun8354 12 2005-2-20 21:27 22 楼 0 支持~~~~~~~~
sharpair 雪币： 272 活跃值： (460) 能力值： ( LV9，RANK：410 ) 在线值：发帖 11 回帖 51 粉丝 0 关注私信	sharpair 10 2005-2-21 09:09 23 楼 0 学习!保存下来,刚看到这个软件,兄弟就给破了,真是快刀手啊!
lucktiger 雪币： 5094 活跃值： (2032) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 259 粉丝 1 关注私信	lucktiger 2005-2-21 17:14 24 楼 0 最初由 zmw1224 发布作者自己写的壳。是jdpack加的壳只不过改动一些代码。
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 2005-4-3 16:07 25 楼 0 新版出来了，这个注册码还是可以注册的，看来作者不在乎这个
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

jackily

发帖

回帖

370

RANK

关注

私信

他的文章

[原创]飓驰猜猜瞧V2.0 注册流程简析―Delphi的PJ分析框架

[原创]《不准玩游戏2005》算法分析及注册机从头说起―新增去暗桩分析

[原创]万能五笔2004的修改后续（去除Bug及自校验,打造绿色五笔）

[原创]也谈神算超人Ⅲ算法分析及其注册机（写给学VB算法者）

[原创]从狂风汉化百宝箱XP的破解看VB注册（二）（算法分析及注册机）

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
zmw1224 雪币： 244 活跃值： (265) 能力值： ( LV9，RANK：250 ) 在线值：发帖 8 回帖 86 粉丝 0 关注私信	zmw1224 6 2005-2-19 15:44 2 楼 0 支持!,脱壳可用ESP定理，二秒就搞定了。
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 2005-2-19 15:55 3 楼 0 记得这似乎是个压缩壳 BTW:上次我看他的算法，输入的注册码是M1234567（只记得第一位是M，后面是数字），不过是伪注册
zmw1224 雪币： 244 活跃值： (265) 能力值： ( LV9，RANK：250 ) 在线值：发帖 8 回帖 86 粉丝 0 关注私信	zmw1224 6 2005-2-19 16:10 4 楼 0 汗！
zmw1224 雪币： 244 活跃值： (265) 能力值： ( LV9，RANK：250 ) 在线值：发帖 8 回帖 86 粉丝 0 关注私信	zmw1224 6 2005-2-19 16:17 5 楼 0 M23Q5678，注册码为8位第一位必须M，第三位必须为3，第四位必须为Q，其它为数字！
jackily 雪币： 265 活跃值： (430) 能力值： ( LV9，RANK：370 ) 在线值：发帖 11 回帖 70 粉丝 0 关注私信	jackily 9 2005-2-19 16:30 6 楼 0 最初由 zmw1224 发布 M23Q5678，注册码为8位第一位必须M，第三位必须为3，第四位必须为Q，其它为数字！汗，也注意到了，正在改哟。
jackily 雪币： 265 活跃值： (430) 能力值： ( LV9，RANK：370 ) 在线值：发帖 11 回帖 70 粉丝 0 关注私信	jackily 9 2005-2-19 16:32 7 楼 0 最初由 zmw1224 发布支持!,脱壳可用ESP定理，二秒就搞定了。能否详细说明啊？学习一下！
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 2005-2-19 16:38 8 楼 0 最初由 jackily 发布能否详细说明啊？学习一下！ OD载入，F8一次，然后下命令hr 12FFC0，F9，断下后，两次F8，脱壳
zmw1224 雪币： 244 活跃值： (265) 能力值： ( LV9，RANK：250 ) 在线值：发帖 8 回帖 86 粉丝 0 关注私信	zmw1224 6 2005-2-19 16:48 9 楼 0 OD载入停在入口处： 004E6000 > 9C PUSHFD 004E6001 E8 00000000 CALL nogame.004E6006 004E6006 5D POP EBP 004E6007 8BD5 MOV EDX,EBP 004E6009 81ED C62B4000 SUB EBP,nogame.00402BC6 004E600F 2B95 61344000 SUB EDX,DWORD PTR SS:[EBP+403461] 004E6015 81EA 06000000 SUB EDX,6 004E601B 8995 65344000 MOV DWORD PTR SS:[EBP+403465],EDX 004E6021 83BD 69344000 0>CMP DWORD PTR SS:[EBP+403469],0 004E6028 0F85 BC030000 JNZ nogame.004E63EA F8走一步，ESP变为0013FFC0,在0013FFC0下硬件断点，F9运行停在下面： 004E63FC FF95 D5314000 CALL DWORD PTR SS:[EBP+4031D5] 004E6402 8B95 65344000 MOV EDX,DWORD PTR SS:[EBP+403465] 004E6408 8B85 ED314000 MOV EAX,DWORD PTR SS:[EBP+4031ED] 004E640E 03C2 ADD EAX,EDX 004E6410 894424 1C MOV DWORD PTR SS:[ESP+1C],EAX 004E6414 61 POPAD 004E6415 50 PUSH EAX 断在这。取消硬件硬点。 ; 004E6416 C3 RETN 返回RETN就ok. 004AEE48 55 PUSH EBP ; ntdll.7C930738 004AEE49 8BEC MOV EBP,ESP 004AEE4B 83C4 D4 ADD ESP,-2C 004AEE4E 53 PUSH EBX 004AEE4F 56 PUSH ESI 004AEE50 33C0 XOR EAX,EAX 004AEE52 8945 DC MOV DWORD PTR SS:[EBP-24],EAX 004AEE55 8945 E0 MOV DWORD PTR SS:[EBP-20],EAX 004AEE58 8945 E4 MOV DWORD PTR SS:[EBP-1C],EAX 004AEE5B 8945 E8 MOV DWORD PTR SS:[EBP-18],EAX 004AEE5E 8945 EC MOV DWORD PTR SS:[EBP-14],EAX 还有更快的方法就是用PEiD插件Generic unpacker直接脱，再YES就收工了！
jackily 雪币： 265 活跃值： (430) 能力值： ( LV9，RANK：370 ) 在线值：发帖 11 回帖 70 粉丝 0 关注私信	jackily 9 2005-2-19 16:49 10 楼 0 最初由 Winter-Night 发布 OD载入，F8一次，然后下命令hr 12FFC0，F9，断下后，两次F8，脱壳对脱壳一窍不通，hr 12FFc0，为什么？
jackily 雪币： 265 活跃值： (430) 能力值： ( LV9，RANK：370 ) 在线值：发帖 11 回帖 70 粉丝 0 关注私信	jackily 9 2005-2-19 16:53 11 楼 0 最初由 zmw1224 发布 OD载入停在入口处： F8走一步，ESP变为0013FFC0,在0013FFC0下硬件断点，F9运行停在下面： 004E63FC FF95 D5314000 CALL DWORD PTR SS:[EBP+4031D5] 004E6402 8B95 65344000 MOV EDX,DWORD PTR SS:[EBP+403465] 004E6408 8B85 ED314000 MOV EAX,DWORD PTR SS:[EBP+4031ED] 004E640E 03C2 ADD EAX,EDX 004E6410 894424 1C MOV DWORD PTR SS:[ESP+1C],EAX 004E6414 61 POPAD 004E6415 50 PUSH EAX 断在这。取消硬件硬点。 ; 004E6416 C3 RETN 返回RETN就ok. ........ 先谢！再问，此壳是什么壳啊？
zmw1224 雪币： 244 活跃值： (265) 能力值： ( LV9，RANK：250 ) 在线值：发帖 8 回帖 86 粉丝 0 关注私信	zmw1224 6 2005-2-19 16:57 12 楼 0 作者自己写的壳。
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 2005-2-19 16:59 13 楼 0 此时我这边ESp为12ffc0，根据ESp定律，这样脱比较简单。
jackily 雪币： 265 活跃值： (430) 能力值： ( LV9，RANK：370 ) 在线值：发帖 11 回帖 70 粉丝 0 关注私信	jackily 9 2005-2-19 17:01 14 楼 0 最初由 zmw1224 发布还有更快的方法就是用PEiD插件Generic unpacker直接脱，再YES就收工了！作者自己写的壳。学习了！呵呵！
jackily 雪币： 265 活跃值： (430) 能力值： ( LV9，RANK：370 ) 在线值：发帖 11 回帖 70 粉丝 0 关注私信	jackily 9 2005-2-19 17:13 15 楼 0 最初由 Winter-Night 发布此时我这边ESp为12ffc0，根据ESp定律，这样脱比较简单。我的脱壳功夫实在欠佳，有些问题很幼稚，呵呵。以前都是用的脱壳机，这回学习了不少，谢谢！
laoqian 雪币： 332 活跃值： (479) 能力值： ( LV9，RANK：330 ) 在线值：发帖 43 回帖 805 粉丝 28 关注私信	laoqian 8 2005-2-19 17:28 16 楼 0 精彩，再完善一下，可以加精啊
冷静雪币： 106 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 69 粉丝 1 关注私信	冷静 2005-2-20 10:45 17 楼 0 手动会让你学到很多的啦。呵呵。
Saver 雪币： 538 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 289 粉丝 0 关注私信	Saver 2005-2-20 11:41 18 楼 0 我是来学习的,太强了
jackily 雪币： 265 活跃值： (430) 能力值： ( LV9，RANK：370 ) 在线值：发帖 11 回帖 70 粉丝 0 关注私信	jackily 9 2005-2-20 11:53 19 楼 0 新增了算法校验的分析，再次欢迎指正！
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1873 粉丝 7 关注私信	prince 16 2005-2-20 14:23 20 楼 0 jackily兄动作好快啊~
渔夫雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 26 粉丝 0 关注私信	渔夫 2005-2-20 17:28 21 楼 0 这个软件经测试是个骗局，不能锁定任何游戏。不知在别的机子上是否可行。
yijun8354 雪币： 1711 活跃值： (711) 能力值： ( LV9，RANK：490 ) 在线值：发帖 22 回帖 783 粉丝 1 关注私信	yijun8354 12 2005-2-20 21:27 22 楼 0 支持~~~~~~~~
sharpair 雪币： 272 活跃值： (460) 能力值： ( LV9，RANK：410 ) 在线值：发帖 11 回帖 51 粉丝 0 关注私信	sharpair 10 2005-2-21 09:09 23 楼 0 学习!保存下来,刚看到这个软件,兄弟就给破了,真是快刀手啊!
lucktiger 雪币： 5094 活跃值： (2032) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 259 粉丝 1 关注私信	lucktiger 2005-2-21 17:14 24 楼 0 最初由 zmw1224 发布作者自己写的壳。是jdpack加的壳只不过改动一些代码。
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 2005-4-3 16:07 25 楼 0 新版出来了，这个注册码还是可以注册的，看来作者不在乎这个
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复