截取视频图像得东西,蛮好玩得-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
hunter_boy 雪币： 261 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 28 回帖 249 粉丝 3 关注私信	hunter_boy 3 2 楼 Xilisoft Video Converter V2.1.50.714b 视频转换工具，可以在DVD、VCD、SVCD、MOV、RM、AVI、MPEG、WMV等格式间相互转换监视注册表,发现程序启动时并没有读取注册信息,而是在输入注册码或者查看about信息时才读取注册信息, 55.26773786 CreateKey HKCU\Software\Xilisoft\Video Converter\RegInfo SUCCESS Key: 0xE195AA08 55.26778480 QueryValue HKCU\Software\Xilisoft\Video Converter\RegInfo\Name SUCCESS "hunter" 55.26781413 QueryValue HKCU\Software\Xilisoft\Video Converter\RegInfo\Name SUCCESS "hunter" 55.26788872 QueryValue HKCU\Software\Xilisoft\Video Converter\RegInfo\Serial SUCCESS "" 55.26791554 QueryValue HKCU\Software\Xilisoft\Video Converter\RegInfo\Serial SUCCESS "" 55.26829436 OpenKey HKCU\Software\Xilisoft\Video Converter\Affiliate SUCCESS Key: 0xE1A4A878 55.26832704 QueryValue HKCU\Software\Xilisoft\Video Converter\Affiliate\BuyURL NOTFOUND 55.26837649 CloseKey HKCU\Software\Xilisoft\Video Converter\Affiliate SUCCESS Key: 0xE1A4A878 182.99960610 QueryValue HKCU\Software\Xilisoft\Video Converter\Affiliate\Name NOTFOUND 182.99984663 QueryValue HKCU\Software\Xilisoft\Video Converter\Affiliate\CompanyURL NOTFOUND 这个程序没有加壳,很遗憾 OD载入后发现使用了MFC71库,给直接用OD搜索信息带来了不便 ============ 用API地址专家搜出ADVAPI32.RegQueryValueExA的地址我的是 77DA23D7 下硬件中断(其实在OD命令行可以直接敲中断命令) 中断到读取Serial后 Ctrl+F9 返回到了 UILib71.dll 晕倒不在主程序中用PEiD查看UILib71.dll 发现使用了MD5 在偏移1E2DD附近 ================= 在UILib71.dll搜索serial和code,下中断点,重新用OD载入,进入"可执行模块"栏选中UILib71.dll右键点"跟随入口"好了现在在"断点"栏就可以看到中断点信息了,F9开始旅程,很容易中断到你需要注意的地方看中断点时如果你注意到位置说明 ds:[006A2714]=7C1894E7 (MFC71.7C1894E7) UILib71.ImRegDlg::IsValidRegInfo+2A6 <===IsValidRegInfo 一看就是检测注册是否有效的意思,唉,太那个了具体注册码是如何产生的没有注意,因为这个程序使用的是明码,唉,太那个了注册码39位,前段由注册信息产生,后段由"videoconverter"字符产生先产生一段32位字符,隔位取出其中16位,然后组合转大写增加"-" 注册信息: hunter_boy 3279-2E19-714C-E1AF-BEC8-E923-5010-9CF4 有兴趣进下面这个call看看 00698319 \|. E8 425E0000 call UILib71.0069E160 程序用了MFC,注册算法放到DLL中,但是DLL没有加壳,算法信息没有隐藏,所以相对自己注册使用的难度就很低了 2005-7-17 13:58 0
ljy3282393 雪币： 214 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 426 粉丝 1 关注私信	ljy3282393 1 3 楼最初由 hunter_boy 发布 Xilisoft Video Converter V2.1.50.714b 视频转换工具，可以在DVD、VCD、SVCD、MOV、RM、AVI、MPEG、WMV等格式间相互转换监视注册表,发现程序启动时并没有读取注册信息,而是在输入注册码或者查看about信息时才读取注册信息, ........ 谢谢!学习! 2005-7-17 23:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (2)
hunter_boy 雪币： 261 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 28 回帖 249 粉丝 3 关注私信	hunter_boy 3 2 楼 Xilisoft Video Converter V2.1.50.714b 视频转换工具，可以在DVD、VCD、SVCD、MOV、RM、AVI、MPEG、WMV等格式间相互转换监视注册表,发现程序启动时并没有读取注册信息,而是在输入注册码或者查看about信息时才读取注册信息, 55.26773786 CreateKey HKCU\Software\Xilisoft\Video Converter\RegInfo SUCCESS Key: 0xE195AA08 55.26778480 QueryValue HKCU\Software\Xilisoft\Video Converter\RegInfo\Name SUCCESS "hunter" 55.26781413 QueryValue HKCU\Software\Xilisoft\Video Converter\RegInfo\Name SUCCESS "hunter" 55.26788872 QueryValue HKCU\Software\Xilisoft\Video Converter\RegInfo\Serial SUCCESS "" 55.26791554 QueryValue HKCU\Software\Xilisoft\Video Converter\RegInfo\Serial SUCCESS "" 55.26829436 OpenKey HKCU\Software\Xilisoft\Video Converter\Affiliate SUCCESS Key: 0xE1A4A878 55.26832704 QueryValue HKCU\Software\Xilisoft\Video Converter\Affiliate\BuyURL NOTFOUND 55.26837649 CloseKey HKCU\Software\Xilisoft\Video Converter\Affiliate SUCCESS Key: 0xE1A4A878 182.99960610 QueryValue HKCU\Software\Xilisoft\Video Converter\Affiliate\Name NOTFOUND 182.99984663 QueryValue HKCU\Software\Xilisoft\Video Converter\Affiliate\CompanyURL NOTFOUND 这个程序没有加壳,很遗憾 OD载入后发现使用了MFC71库,给直接用OD搜索信息带来了不便 ============ 用API地址专家搜出ADVAPI32.RegQueryValueExA的地址我的是 77DA23D7 下硬件中断(其实在OD命令行可以直接敲中断命令) 中断到读取Serial后 Ctrl+F9 返回到了 UILib71.dll 晕倒不在主程序中用PEiD查看UILib71.dll 发现使用了MD5 在偏移1E2DD附近 ================= 在UILib71.dll搜索serial和code,下中断点,重新用OD载入,进入"可执行模块"栏选中UILib71.dll右键点"跟随入口"好了现在在"断点"栏就可以看到中断点信息了,F9开始旅程,很容易中断到你需要注意的地方看中断点时如果你注意到位置说明 ds:[006A2714]=7C1894E7 (MFC71.7C1894E7) UILib71.ImRegDlg::IsValidRegInfo+2A6 <===IsValidRegInfo 一看就是检测注册是否有效的意思,唉,太那个了具体注册码是如何产生的没有注意,因为这个程序使用的是明码,唉,太那个了注册码39位,前段由注册信息产生,后段由"videoconverter"字符产生先产生一段32位字符,隔位取出其中16位,然后组合转大写增加"-" 注册信息: hunter_boy 3279-2E19-714C-E1AF-BEC8-E923-5010-9CF4 有兴趣进下面这个call看看 00698319 \|. E8 425E0000 call UILib71.0069E160 程序用了MFC,注册算法放到DLL中,但是DLL没有加壳,算法信息没有隐藏,所以相对自己注册使用的难度就很低了 2005-7-17 13:58 0
ljy3282393 雪币： 214 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 426 粉丝 1 关注私信	ljy3282393 1 3 楼最初由 hunter_boy 发布 Xilisoft Video Converter V2.1.50.714b 视频转换工具，可以在DVD、VCD、SVCD、MOV、RM、AVI、MPEG、WMV等格式间相互转换监视注册表,发现程序启动时并没有读取注册信息,而是在输入注册码或者查看about信息时才读取注册信息, ........ 谢谢!学习! 2005-7-17 23:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复