[原创]爆破游戏修改器(Quick Memory Editor) V5.2-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [原创]爆破游戏修改器(Quick Memory Editor) V5.2 0.00雪花

发表于: 2010-6-24 07:47 3006

[旧帖] [原创]爆破游戏修改器(Quick Memory Editor) V5.2 0.00雪花

sky科

2010-6-24 07:47

3006

软件下载地址:http://www.duotegame.com/soft/6403.html
------------------------------------------------------------------------

前几天已发了一篇，现在再发一篇简单的破解呵呵。只苦求一邀请码谢谢！

以下是爆破的过程：

软件有使用期限的，所以测试前，最好把时间改大几个月，这样便于我们的破解。

软件没壳的，直接爆破.

爆破：

（多做记号哦！）
0046D223    E8 04320000     call MemEdito.0047042C      ; 出提示框     //NOP掉
0046D228    8B03            mov eax,dword ptr ds:[ebx]
0046D22A    80B8 9C000000 0>cmp byte ptr ds:[eax+9C],0
0046D231    74 0F           je short MemEdito.0046D242           //这个跳也NOP掉

提示的CALL和那个je都NOP掉后，保存下，然后在载入保存的。

此时按F9运行，发现已经没有过期提示了。但还会跳出提示注册的网页.

好，我们记住网页的地址，等下要用到。我的是：https://www.regsoft.net/regsoft/vieworderpage.php3?productid=48321

OD重新载入一次程序（Ctrl+F2），先分析一下代码，然后右键--查找—所有参考文本串---粘贴刚才的网址进去（记得去掉大小写区分，和勾上整个范围） -搜索。

找到后，双击进去，来到了这里：
004FCCE2    BA A0CD4F00     mov edx,MemEdito.004FCDA0                ; ASCII "https://www.regsoft.net/regsoft/vieworderpage.php3?productid=48321"

可以判断这是一段打开网页的子程序，前面必有个（bad）CALL调用！既然有贪污点就会有个主谋吧。。。

我们来把那个CALL揪出来~  找到此段的断首（要注意中间那两个回跳不是段首，那个retn是返回到下面去的），004FCC34处下F2断点，F9运行，就断在了这：

004FCC34    55              push ebp               //在这里F2下断  --运行004FCC35    8BEC            mov ebp,esp
004FCC37    33C9            xor ecx,ecx
004FCC39    51              push ecx
004FCC3A    51              push ecx
004FCC3B    51              push ecx
004FCC3C    51              push ecx
004FCC3D    53              push ebx
004FCC3E    56              push esi
004FCC3F    57              push edi
004FCC40    33C0            xor eax,eax
004FCC42    55              push ebp
004FCC43    68 5ACD4F00     push MemEdito.004FCD5A
004FCC48    64:FF30         push dword ptr fs:[eax]
004FCC4B    64:8920         mov dword ptr fs:[eax],esp
004FCC4E    8D45 F8         lea eax,dword ptr ss:[ebp-8]
004FCC51    E8 2E7DF0FF     call MemEdito.00404984
004FCC56    B2 01           mov dl,1
004FCC58    A1 CCC24A00     mov eax,dword ptr ds:[4AC2CC]
004FCC5D    E8 D6F7FAFF     call MemEdito.004AC438
004FCC62    8945 FC         mov dword ptr ss:[ebp-4],eax
004FCC65    33C0            xor eax,eax
004FCC67    55              push ebp
004FCC68    68 BDCC4F00     push MemEdito.004FCCBD
004FCC6D    64:FF30         push dword ptr fs:[eax]
004FCC70    64:8920         mov dword ptr fs:[eax],esp
004FCC73    BA 02000080     mov edx,80000002
004FCC78    8B45 FC         mov eax,dword ptr ss:[ebp-4]
004FCC7B    E8 94F8FAFF     call MemEdito.004AC514
004FCC80    B1 01           mov cl,1
004FCC82    BA 70CD4F00     mov edx,MemEdito.004FCD70              ; ASCII "\SOFTWARE\Memory Editor"
004FCC87    8B45 FC         mov eax,dword ptr ss:[ebp-4]
004FCC8A    E8 C9F9FAFF     call MemEdito.004AC658
004FCC8F    8D4D F8         lea ecx,dword ptr ss:[ebp-8]
004FCC92    BA 90CD4F00     mov edx,MemEdito.004FCD90              ; ASCII "BUYURL"
004FCC97    8B45 FC         mov eax,dword ptr ss:[ebp-4]
004FCC9A    E8 61FDFAFF     call MemEdito.004ACA00
004FCC9F    8B45 FC         mov eax,dword ptr ss:[ebp-4]
004FCCA2    E8 3DF8FAFF     call MemEdito.004AC4E4
004FCCA7    33C0            xor eax,eax
004FCCA9    5A              pop edx
004FCCAA    59              pop ecx
004FCCAB    59              pop ecx
004FCCAC    64:8910         mov dword ptr fs:[eax],edx
004FCCAF    68 C4CC4F00     push MemEdito.004FCCC4
004FCCB4    8B45 FC         mov eax,dword ptr ss:[ebp-4]
004FCCB7    E8 186FF0FF     call MemEdito.00403BD4
004FCCBC    C3              retn
004FCCBD  ^ E9 A676F0FF     jmp MemEdito.00404368
004FCCC2  ^ EB F0           jmp short MemEdito.004FCCB4
004FCCC4    33C0            xor eax,eax
004FCCC6    55              push ebp
004FCCC7    68 35CD4F00     push MemEdito.004FCD35
004FCCCC    64:FF30         push dword ptr fs:[eax]
004FCCCF    64:8920         mov dword ptr fs:[eax],esp
004FCCD2    8B45 F8         mov eax,dword ptr ss:[ebp-8]
004FCCD5    E8 627FF0FF     call MemEdito.00404C3C
004FCCDA    83F8 02         cmp eax,2
004FCCDD    7D 0D           jge short MemEdito.004FCCEC
004FCCDF    8D45 F8         lea eax,dword ptr ss:[ebp-8]
004FCCE2    BA A0CD4F00     mov edx,MemEdito.004FCDA0              ; ASCII "https://www.regsoft.net/regsoft/vieworderpage.php3?productid=48321"
004FCCE7    E8 307DF0FF     call MemEdito.00404A1C
004FCCEC    6A 03           push 3
004FCCEE    8D55 F0         lea edx,dword ptr ss:[ebp-10]
004FCCF1    A1 94015400     mov eax,dword ptr ds:[540194]
004FCCF6    8B00            mov eax,dword ptr ds:[eax]
004FCCF8    E8 9B3EF7FF     call MemEdito.00470B98
004FCCFD    8B45 F0         mov eax,dword ptr ss:[ebp-10]
004FCD00    8D55 F4         lea edx,dword ptr ss:[ebp-C]
004FCD03    E8 78D0F0FF     call MemEdito.00409D80
004FCD08    8B45 F4         mov eax,dword ptr ss:[ebp-C]
004FCD0B    E8 2481F0FF     call MemEdito.00404E34
004FCD10    50              push eax
004FCD11    8B45 F8         mov eax,dword ptr ss:[ebp-8]
004FCD14    E8 1B81F0FF     call MemEdito.00404E34
004FCD19    50              push eax
004FCD1A    68 E4CD4F00     push MemEdito.004FCDE4                 ; ASCII "IEXPLORE.EXE"
004FCD1F    68 F4CD4F00     push MemEdito.004FCDF4                 ; ASCII "open"
004FCD24    6A 00           push 0
004FCD26    E8 FD02F4FF     call <jmp.&shell32.ShellExecuteA>     ; 到这就打开网页了.

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：