某小软件分析过程[求帮忙求路过]-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 某小软件分析过程[求帮忙求路过] 0.00雪花

发表于: 2012-3-22 11:34 8852

[旧帖] 某小软件分析过程[求帮忙求路过] 0.00雪花

魔兽派

2012-3-22 11:34

8852

借朋友的号来这里问问啊，希望大家帮助我分析一下
什么软件就不说了啊，尊重作者

注册机制简介：
机器码：WWWWWWWWW
输入错误注册码之后，弹出“注册码错误“

下面是我的分析过程：

1~PEID查壳

Borland Delphi 6.0 - 7.0

2~OD载入后，因为是Delphi程序，所以直接查找所有字符串”注册码不正确“，来到这一段：

0051E498  /.  55          push ebp ；在此下断单步走
0051E499  |.  8BEC       mov    ebp, esp
0051E49B  |.  6A 00       push 0
0051E49D  |.  6A 00       push 0
0051E49F  |.  6A 00       push 0
0051E4A1  |.  53          push ebx
0051E4A2  |.  56          push esi
0051E4A3  |.  8BD8       mov    ebx, eax
0051E4A5  |.  33C0       xor    eax, eax
0051E4A7  |.  55          push ebp
0051E4A8  |.  68 53E55100 push 0051E553
0051E4AD  |.  64:FF30    push dword ptr fs:[eax]
0051E4B0  |.  64:8920    mov    dword ptr fs:[eax], esp
0051E4B3  |.  8D55 F8    lea    edx, dword ptr [ebp-8]
0051E4B6  |.  8B83 F0020000 mov    eax, dword ptr [ebx+2F0]
0051E4BC  |.  E8 B7C6F3FF call 0045AB78
0051E4C1  |.  8B45 F8    mov    eax, dword ptr [ebp-8]
0051E4C4  |.  E8 4768EEFF call 00404D10
0051E4C9  |.  85C0       test eax, eax
0051E4CB  |.  75 18       jnz    short 0051E4E5   ;这里跳转实现
0051E4CD  |.  8BC3       mov    eax, ebx
0051E4CF  |.  E8 EC2EF4FF call 004613C0
0051E4D4  |.  BA 60E55100 mov    edx, 0051E560                   ;  注册码不正确
0051E4D9  |.  B9 30000000 mov    ecx, 30
0051E4DE  |.  E8 6D6CF7FF call 00495150
0051E4E3  |.  EB 4B       jmp    short 0051E530
0051E4E5  |>  B2 01       mov    dl, 1
0051E4E7  |.  A1 384C4900 mov    eax, dword ptr [494C38]
0051E4EC  |.  E8 176EF7FF call 00495308
0051E4F1  |.  8BF0       mov    esi, eax
0051E4F3  |.  8D45 FC    lea    eax, dword ptr [ebp-4]
0051E4F6  |.  50          push eax
0051E4F7  |.  8D55 F4    lea    edx, dword ptr [ebp-C]
0051E4FA  |.  8B83 F0020000 mov    eax, dword ptr [ebx+2F0]
0051E500  |.  E8 73C6F3FF call 0045AB78
0051E505  |.  8B55 F4    mov    edx, dword ptr [ebp-C]
0051E508  |.  33C9       xor    ecx, ecx
0051E50A  |.  8BC6       mov    eax, esi
0051E50C  |.  E8 8B6EF7FF call 0049539C
0051E511  |.  8BC3       mov    eax, ebx
0051E513  |.  E8 A82EF4FF call 004613C0
0051E518  |.  BA 60E55100 mov    edx, 0051E560                   ;  注册码不正确
0051E51D  |.  B9 30000000 mov    ecx, 30
0051E522  |.  E8 296CF7FF call 00495150 ；这里弹出注册码不正确
0051E527  |.  B2 01       mov    dl, 1
0051E529  |.  8BC6       mov    eax, esi
0051E52B  |.  E8 5471F7FF call 00495684
0051E530  |>  33C0       xor    eax, eax
0051E532  |.  5A          pop    edx
0051E533  |.  59          pop    ecx
0051E534  |.  59          pop    ecx
0051E535  |.  64:8910    mov    dword ptr fs:[eax], edx
0051E538  |.  68 5AE55100 push 0051E55A
0051E53D  |>  8D45 F4    lea    eax, dword ptr [ebp-C]
0051E540  |.  BA 02000000 mov    edx, 2
0051E545  |.  E8 2265EEFF call 00404A6C
0051E54A  |.  8D45 FC    lea    eax, dword ptr [ebp-4]
0051E54D  |.  E8 F664EEFF call 00404A48
0051E552  \.  C3          retn

我在0051E4C4出跟进去，0051E513出也跟进过。。。越跟越乱。。最后不知道去哪了。。。

求大哥们指点，这个号好像没有论坛币了，悬赏不多

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (26) 1 2 ▶
qqmss 雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 124 粉丝 0 关注私信	qqmss 2 楼软件发上来，不发上怎么帮你分析。 2012-3-22 11:50 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 3 楼嗯，忘记发软件了，这是软件。。。上传的附件： XX某软件.rar （679.37kb，44次下载） 2012-3-22 12:12 0
柳州小林雪币： 1596 活跃值： (25) 能力值： ( LV7，RANK：110 ) 在线值：发帖 31 回帖 235 粉丝 0 关注私信	柳州小林 2 4 楼看到了FS! 0051E4CB \|. 75 18 jnz short 0051E4E5 ;这里跳转实现 0051E4E5 \|> B2 01 mov dl, 1 ....... 0051E522 \|. E8 296CF7FF call 00495150 ；这里弹出注册码不正确从0051E4E5到0051E522都没有跳转命令,且有FS出现,所以关键代码应该在异常处理里面 2012-3-22 13:32 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 5 楼什么叫FS?..,, 指寄存器吗？额。。。我碰到反调试了啊？。，，~！ 2012-3-22 13:52 0
柳州小林雪币： 1596 活跃值： (25) 能力值： ( LV7，RANK：110 ) 在线值：发帖 31 回帖 235 粉丝 0 关注私信	柳州小林 2 6 楼 0051E4FA \|. 8B83 F0020000 mov eax, dword ptr [ebx+2F0] 0051E500 \|. E8 73C6F3FF call 0045AB78 不知何原因,整个流程没有取注册码字串的操作,除非把以上改成: 0051E4FA \|. 8B83 F0020000 mov eax, dword ptr [ebx+2F4] 0051E500 \|. E8 73C6F3FF call 0045AB78 后面的call里面都有FS,难呀! 2012-3-22 14:41 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 7 楼跟第8次了。。。几乎每个call都进去过。。又飞了。。 2012-3-22 15:34 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 8 楼来人救我~~help me 2012-3-22 16:22 0
榻榻米雪币： 295 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 103 粉丝 0 关注私信	榻榻米 9 楼我更觉得这是程序有问题故意让你不能注册。。 2012-3-22 16:46 0
qqmss 雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 124 粉丝 0 关注私信	qqmss 10 楼这个程序是根据一个key.lc文件注册的。你发的文件不全。 2012-3-22 16:59 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 11 楼。。。好吧，我不是有意要发链接的。。。这个总该完全了吧？点击下载 2012-3-22 17:10 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 12 楼硬是没有挑战它的人了吗？ 2012-3-26 12:18 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 13 楼继续求帮忙。。。不解决是心病。。。求路过 2012-4-10 16:22 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 14 楼这软件几个怪的地方： 1~这软件貌似有自校验，貌似自校验还挺强。。。改动关键代码就运行出错。开2个OD对比跟踪，跟到某循环处。。。各种call eax。。。自校验 2~没有取假码的地方，翻遍不下20个call没有找到取假注册码的地方~~ - -。。。 3~居然有2个注册码不正确的地方。。。。。。。求大侠路见不平一声吼，该出手时就出手。。。 2012-4-10 16:26 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 15 楼就算根据key.lc注册。。。试用版不可能有这个文件吧？ 2012-4-10 16:28 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 16 楼程序没有问题~~。。。去除导出限制的时候，我修改了1个字节重新运行就出错。。各种自校验，我楼上说了。。。从来没见过循环自校验 2012-4-10 16:29 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 17 楼每日一顶，顶到悬赏结束。。。我就不信没人会 2012-4-12 08:19 0
风衣百度雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	风衣百度 18 楼我也不明白.帮不上忙. 2012-4-14 15:49 0
chensf 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	chensf 19 楼这软件怪怪的，，OD进去卡住了， 2012-4-20 13:37 0
snowLo 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	snowLo 20 楼新手观望学习 2012-4-20 19:48 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 21 楼清晨一顶字数补丁 2012-4-21 06:37 0
ouyangyong 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	ouyangyong 22 楼新人学习帮顶。大牛关注下 2012-4-21 10:08 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 23 楼 100kx，呵呵 2012-4-22 02:35 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 24 楼求指点，哪怕说一个内存地址 2012-4-24 11:18 0
wli 雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 86 粉丝 0 关注私信	wli 25 楼断掉自校验循环试试？然后再着手注册码？ 2012-4-29 01:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

魔兽派

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
qqmss 雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 124 粉丝 0 关注私信	qqmss 2 楼软件发上来，不发上怎么帮你分析。 2012-3-22 11:50 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 3 楼嗯，忘记发软件了，这是软件。。。上传的附件： XX某软件.rar （679.37kb，44次下载） 2012-3-22 12:12 0
柳州小林雪币： 1596 活跃值： (25) 能力值： ( LV7，RANK：110 ) 在线值：发帖 31 回帖 235 粉丝 0 关注私信	柳州小林 2 4 楼看到了FS! 0051E4CB \|. 75 18 jnz short 0051E4E5 ;这里跳转实现 0051E4E5 \|> B2 01 mov dl, 1 ....... 0051E522 \|. E8 296CF7FF call 00495150 ；这里弹出注册码不正确从0051E4E5到0051E522都没有跳转命令,且有FS出现,所以关键代码应该在异常处理里面 2012-3-22 13:32 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 5 楼什么叫FS?..,, 指寄存器吗？额。。。我碰到反调试了啊？。，，~！ 2012-3-22 13:52 0
柳州小林雪币： 1596 活跃值： (25) 能力值： ( LV7，RANK：110 ) 在线值：发帖 31 回帖 235 粉丝 0 关注私信	柳州小林 2 6 楼 0051E4FA \|. 8B83 F0020000 mov eax, dword ptr [ebx+2F0] 0051E500 \|. E8 73C6F3FF call 0045AB78 不知何原因,整个流程没有取注册码字串的操作,除非把以上改成: 0051E4FA \|. 8B83 F0020000 mov eax, dword ptr [ebx+2F4] 0051E500 \|. E8 73C6F3FF call 0045AB78 后面的call里面都有FS,难呀! 2012-3-22 14:41 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 7 楼跟第8次了。。。几乎每个call都进去过。。又飞了。。 2012-3-22 15:34 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 8 楼来人救我~~help me 2012-3-22 16:22 0
榻榻米雪币： 295 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 103 粉丝 0 关注私信	榻榻米 9 楼我更觉得这是程序有问题故意让你不能注册。。 2012-3-22 16:46 0
qqmss 雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 124 粉丝 0 关注私信	qqmss 10 楼这个程序是根据一个key.lc文件注册的。你发的文件不全。 2012-3-22 16:59 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 11 楼。。。好吧，我不是有意要发链接的。。。这个总该完全了吧？点击下载 2012-3-22 17:10 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 12 楼硬是没有挑战它的人了吗？ 2012-3-26 12:18 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 13 楼继续求帮忙。。。不解决是心病。。。求路过 2012-4-10 16:22 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 14 楼这软件几个怪的地方： 1~这软件貌似有自校验，貌似自校验还挺强。。。改动关键代码就运行出错。开2个OD对比跟踪，跟到某循环处。。。各种call eax。。。自校验 2~没有取假码的地方，翻遍不下20个call没有找到取假注册码的地方~~ - -。。。 3~居然有2个注册码不正确的地方。。。。。。。求大侠路见不平一声吼，该出手时就出手。。。 2012-4-10 16:26 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 15 楼就算根据key.lc注册。。。试用版不可能有这个文件吧？ 2012-4-10 16:28 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 16 楼程序没有问题~~。。。去除导出限制的时候，我修改了1个字节重新运行就出错。。各种自校验，我楼上说了。。。从来没见过循环自校验 2012-4-10 16:29 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 17 楼每日一顶，顶到悬赏结束。。。我就不信没人会 2012-4-12 08:19 0
风衣百度雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	风衣百度 18 楼我也不明白.帮不上忙. 2012-4-14 15:49 0
chensf 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	chensf 19 楼这软件怪怪的，，OD进去卡住了， 2012-4-20 13:37 0
snowLo 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	snowLo 20 楼新手观望学习 2012-4-20 19:48 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 21 楼清晨一顶字数补丁 2012-4-21 06:37 0
ouyangyong 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	ouyangyong 22 楼新人学习帮顶。大牛关注下 2012-4-21 10:08 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 23 楼 100kx，呵呵 2012-4-22 02:35 0
魔兽派雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	魔兽派 24 楼求指点，哪怕说一个内存地址 2012-4-24 11:18 0
wli 雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 86 粉丝 0 关注私信	wli 25 楼断掉自校验循环试试？然后再着手注册码？ 2012-4-29 01:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复