首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
关于注册表重启验证不解处[求助]
发表于: 2005-10-25 17:09 4240

关于注册表重启验证不解处[求助]

yzslly 活跃值
4
2005-10-25 17:09
4240
最近在研究一重启注册表验证软件时,有个地方不明白,请高手指点。就是我们一般通过下注册表的API断点,然后找到相关的这个键值,再找到关键CALL然后破之。可是这个软件在下断后,断下的都是其他键值,关键键值找不到(它的关键值是KEY,可我在断下的堆栈中根本看不到KEY,其他都能看到),晕。求助。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (7)
yzslly
雪    币: 136
活跃值: (429)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
2
有没人给解答一下。
2005-10-26 13:11
0
prince
雪    币: 603
活跃值: (617)
能力值: ( LV12,RANK:660 )
在线值:
发帖
回帖
粉丝
私信
3
先确定注册表中是否有该值,不然会白费工夫;
另外重起验证也不一定就是从注册表中读取key,也有可能是从文件等其他地方读取...
2005-10-26 15:30
0
yzslly
雪    币: 136
活跃值: (429)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
4
注册表有该键值,因为我打开注册表看了的。而且我跟踪它时,在写入注册表时可以看到你输入的KEY值(这跟得到,但重启后,我就跟没了)。
2005-10-26 16:18
0
prince
雪    币: 603
活跃值: (617)
能力值: ( LV12,RANK:660 )
在线值:
发帖
回帖
粉丝
私信
5
重起跟踪时,断点不要取消,一个一个看,如果它是从注册表读取key,那就一定会跟到的。
2005-10-26 16:23
0
yzslly
雪    币: 136
活跃值: (429)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
6
什么断点不要取消,我能跟到其他健值,就是没KEY这一窜,所以很晕。
2005-10-26 17:10
0
wenglingok
雪    币: 671
活跃值: (723)
能力值: ( LV9,RANK:1060 )
在线值:
发帖
回帖
粉丝
私信
7
直接用搜索键名好了

打开Regmon和Filemon监视一下

看看是不是只在注册表保存了一处。
2005-10-26 17:38
0
yzslly
雪    币: 136
活跃值: (429)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
8
应该只有这一处,因为写入时能看到key这个键值。
2005-10-27 08:34
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//