能力值:
( LV4,RANK:50 )
|
-
-
2 楼
cm.exe会释放yz.dll, yz.exe和key.txt到C:\Documents and Settings\Administrator\Application Data, 将你输入的验证码写到key.txt中, 然后启动yz.exe.
yz.exe读取key.txt中的验证码, 并调用yz.dll中的导出函数ck, 这个函数中会检查验证码. 当你跟踪到ck这个函数时就会发现验证码已经躺在内存里了
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
这个我也调试不到关键call啊,只知道释放yz.exe和yz.dll两个文件,key.txt写入注册码,哪个call是做判断,哪位大侠给个思路
|
能力值:
( LV5,RANK:60 )
|
-
-
4 楼
大牛能不能讲下具体怎么跟的,怎么判断那些call的,我试了好多次都是头晕啊,是不是每个都要跟进去读懂?
|
能力值:
( LV4,RANK:50 )
|
-
-
5 楼
我用ProcMon監視該程序, 先是每個call都跳過, 在每個call之後在ProcMon看它做了什麽事. 如果跳過一個call之後程序運行結束了, 那就跟蹤進去看看. 後來發現只有yz.exe運行之後才會更改key.txt中的內容, 所以判斷cm.exe根本就沒有判斷註冊碼, 判斷過程是由yz.exe完成. 然後開始用OD分析yz.exe, 發現它加載yz.dll之後才會更改key.txt, 所以跟蹤到yz.dll, 然後就會發現一句話"膜拜"什麽的, 在附近判斷一下就行了
|
能力值:
( LV5,RANK:60 )
|
-
-
6 楼
谢谢大牛解答,我学着你的方法试一下,看能不能看懂。 
|
|
|
|
