[求助]狗类型不明！求解答-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]狗类型不明！求解答

发表于: 2005-10-7 22:43 4526

[求助]狗类型不明！求解答

hanzy

2005-10-7 22:43

4526

软件3处加密已经跳过！此处改动就非法！请教这个是什么狗！我好继续查资料

0050E191             A1 FC505400          mov eax,dword ptr ds:[<&CSUTIL.g_Dongle>]
0050E196             68 E0205A00          push lppa.005A20E0                               ; ASCII "Lppx.Application\License\Products\600"
0050E19B             50                   push eax
0050E19C             E8 B19F0100          call <jmp.&CSUTIL.CDongle::SetProductRegistryKey>
0050E1A1             8BCE                   mov ecx,esi
0050E1A3             E8 58BAFDFF          call lppa.004E9C00
0050E1A8             8BC8                   mov ecx,eax
0050E1AA             E8 A1B8FDFF          call lppa.004E9A50
0050E1AF             8B0D FC505400          mov ecx,dword ptr ds:[<&CSUTIL.g_Dongle>]       ; CSUTIL.g_Dongle
0050E1B5             50                   push eax
0050E1B6             51                   push ecx
0050E1B7             E8 909F0100          call <jmp.&CSUTIL.CDongle::SetAppProg>
0050E1BC             68 C0205A00          push lppa.005A20C0                               ; ASCII "InitWorkSpace : g_Dongle.OnInit"
0050E1C1             E8 5A35EFFF          call lppa.00401720
0050E1C6             83C4 04                add esp,4
0050E1C9             8D5424 18             lea edx,dword ptr ss:[esp+18]
0050E1CD             6A 01                push 1
0050E1CF             53                   push ebx
0050E1D0             52                   push edx
0050E1D1             68 E8495A00          push lppa.005A49E8
0050E1D6             E8 9561FEFF          call lppa.004F4370
0050E1DB             8B38                   mov edi,dword ptr ds:[eax]
0050E1DD             8D4424 1C             lea eax,dword ptr ss:[esp+1C]
0050E1E1             50                   push eax
0050E1E2             68 E8495A00          push lppa.005A49E8
0050E1E7             C68424 64010000 01    mov byte ptr ss:[esp+164],1
0050E1EF             E8 5C58FEFF          call lppa.004F3A50
0050E1F4             8B28                   mov ebp,dword ptr ds:[eax]
0050E1F6             6A 6E                push 6E
0050E1F8             8BCE                   mov ecx,esi
0050E1FA             C68424 60010000 02    mov byte ptr ss:[esp+160],2
0050E202             E8 B9190000          call lppa.0050FBC0
0050E207             8B8E 80010000          mov ecx,dword ptr ds:[esi+180]
0050E20D             8B15 FC505400          mov edx,dword ptr ds:[<&CSUTIL.g_Dongle>]       ; CSUTIL.g_Dongle
0050E213             50                   push eax
0050E214             57                   push edi
0050E215             51                   push ecx
0050E216             55                   push ebp
0050E217             52                   push edx
0050E218             E8 299F0100          call <jmp.&CSUTIL.CDongle::OnInit>
0050E21D             8D4C24 1C             lea ecx,dword ptr ss:[esp+1C]
0050E221             8BF8                   mov edi,eax
0050E223             C68424 5C010000 01    mov byte ptr ss:[esp+15C],1
0050E22B             E8 32810100          call <jmp.&MFC42.#800>
0050E230             8D4C24 18             lea ecx,dword ptr ss:[esp+18]
0050E234             889C24 5C010000       mov byte ptr ss:[esp+15C],bl
0050E23B             E8 22810100          call <jmp.&MFC42.#800>
0050E240             68 90205A00          push lppa.005A2090                               ; ASCII "InitWorkSpace : CToolDraw::InitToolsObjects()"
0050E245             E8 D634EFFF          call lppa.00401720
0050E24A             83C4 04                add esp,4
0050E24D             E8 CE80F8FF          call lppa.00496320
0050E252             68 64205A00          push lppa.005A2064                               ; ASCII "InitWorkSpace : AfxEnableControlContainer()"
0050E257             E8 C434EFFF          call lppa.00401720
0050E25C             68 C0010000          push 1C0
0050E261             E8 50810100          call <jmp.&MFC42.#823>
0050E266             83C4 08                add esp,8
0050E269             894424 18             mov dword ptr ss:[esp+18],eax
0050E26D             3BC3                   cmp eax,ebx
0050E26F             C68424 5C010000 03    mov byte ptr ss:[esp+15C],3
0050E277             74 09                je short lppa.0050E282
0050E279             8BC8                   mov ecx,eax
0050E27B             E8 9099FFFF          call lppa.00507C10
0050E280             EB 02                jmp short lppa.0050E284
0050E282             33C0                   xor eax,eax
0050E284             3BC3                   cmp eax,ebx
0050E286             889C24 5C010000       mov byte ptr ss:[esp+15C],bl
0050E28D             A3 743E5A00          mov dword ptr ds:[5A3E74],eax
0050E292             0F84 66010000          je lppa.0050E3FE
0050E298             3998 50010000          cmp dword ptr ds:[eax+150],ebx
0050E29E             0F84 5A010000          je lppa.0050E3FE
0050E2A4             C780 38010000 01000000  mov dword ptr ds:[eax+138],1
0050E2AE             A1 743E5A00          mov eax,dword ptr ds:[5A3E74]
0050E2B3             8998 40010000          mov dword ptr ds:[eax+140],ebx
0050E2B9             8B0D 743E5A00          mov ecx,dword ptr ds:[5A3E74]
0050E2BF             8999 44010000          mov dword ptr ds:[ecx+144],ebx
0050E2C5             8B15 743E5A00          mov edx,dword ptr ds:[5A3E74]
0050E2CB             899A 48010000          mov dword ptr ds:[edx+148],ebx
0050E2D1             A1 743E5A00          mov eax,dword ptr ds:[5A3E74]
0050E2D6             8998 3C010000          mov dword ptr ds:[eax+13C],ebx
0050E2DC             8B4C24 10             mov ecx,dword ptr ss:[esp+10]
0050E2E0             51                   push ecx
0050E2E1             8B0D 743E5A00          mov ecx,dword ptr ds:[5A3E74]
0050E2E7             E8 A4A1FFFF          call lppa.00508490
0050E2EC             68 44205A00          push lppa.005A2044                               ; ASCII "InitWorkSpace : InitFormulas"
0050E2F1             E8 2A34EFFF          call lppa.00401720
0050E2F6             83C4 04                add esp,4
0050E2F9             8BCE                   mov ecx,esi
0050E2FB             E8 F0D8FFFF          call lppa.0050BBF0
0050E300             E8 75800100          call <jmp.&MFC42.#1168>
0050E305             8B40 08                mov eax,dword ptr ds:[eax+8]
0050E308             8B2D F07C5400          mov ebp,dword ptr ds:[<&USER32.GetClassInfoA>]    ; USER32.GetClassInfoA
0050E30E             8D5424 28             lea edx,dword ptr ss:[esp+28]
0050E312             52                   push edx
0050E313             68 A8935900          push lppa.005993A8                               ; ASCII "CFillerGrid"
0050E318             50                   push eax
0050E319             FFD5                   call ebp
0050E31B             85C0                   test eax,eax
0050E31D             0F85 DB000000          jnz lppa.0050E3FE
0050E323             E8 A873F2FF          call lppa.004356D0
0050E328             E8 4D800100          call <jmp.&MFC42.#1168>
0050E32D             8B40 08                mov eax,dword ptr ds:[eax+8]
0050E330             8D4C24 28             lea ecx,dword ptr ss:[esp+28]
0050E334             51                   push ecx
0050E335             68 B4AE5900          push lppa.0059AEB4                               ; ASCII "CRFTagCustomGrid"
0050E33A             50                   push eax
0050E33B             FFD5                   call ebp
0050E33D             85C0                   test eax,eax
0050E33F             0F85 B9000000          jnz lppa.0050E3FE
0050E345             E8 A677F6FF          call lppa.00475AF0
0050E34A             3BFB                   cmp edi,ebx
0050E34C             74 0C                je short lppa.0050E35A
0050E34E             8BAC24 68010000       mov ebp,dword ptr ss:[esp+168]
0050E355             83CD 02                or ebp,2
0050E358             EB 04                jmp short lppa.0050E35E
0050E35A             8B6C24 24             mov ebp,dword ptr ss:[esp+24]

软件3处加密已经跳过！此处改动就非法！请教这个是什么狗！我好继续查资料

0050E28D             A3 743E5A00          mov dword ptr ds:[5A3E74],eax
请注意软件多次读取这个  :[5A3E74],eax
这行无法理解， “ OnInit ”
0050E1BC             68 C0205A00          push lppa.005A20C0                               ; ASCII "InitWorkSpace : g_Dongle.OnInit"

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (3)
deanlh 雪币： 242 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 387 粉丝 1 关注私信	deanlh 2 楼看驱动就知道什么狗..... 2005-10-8 10:06 0
zeror 雪币： 186 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	zeror 3 楼了解的什么狗的类型,主要看狗驱动,有的甚至从狗驱的文件名就能知道! 2005-10-8 19:51 0
Pan88168 雪币： 463 活跃值： (116) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 1103 粉丝 8 关注私信	Pan88168 4 楼 CSUTIL.Xxx 进去这个文件看看,应该有不少收获的. 2005-10-10 02:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hanzy

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (3)
deanlh 雪币： 242 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 387 粉丝 1 关注私信	deanlh 2 楼看驱动就知道什么狗..... 2005-10-8 10:06 0
zeror 雪币： 186 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	zeror 3 楼了解的什么狗的类型,主要看狗驱动,有的甚至从狗驱的文件名就能知道! 2005-10-8 19:51 0
Pan88168 雪币： 463 活跃值： (116) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 1103 粉丝 8 关注私信	Pan88168 4 楼 CSUTIL.Xxx 进去这个文件看看,应该有不少收获的. 2005-10-10 02:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复