怎么没有人来玩呢

最初由 dummy 发布
附件:crackme2.rar



这个 crackme 发了整整一天的时间，没有使用什么算法。主要使用了很多“技巧”（对于我这个菜鸟来说）

是不是修改了SECTION，我这边MCAFEE显示是病毒，晕

我修改了其中一个节的属性，就报告是病毒，晕:

最初由 dummy 发布
我修改了其中一个节的属性，就报告是病毒，晕:

我猜也是，因为我曾经也修改过一些EXE的SECTION，被MCAFEE报告说是病毒

那到底有没有毒呀?

楼主，发现个问题，在发送自定义消息的时候wParam的值一直为0，不知对不对？ 我猜你的自定义消息是这么判断的
{
    int a = wParam,b = lParam;
    a += b;
    b -= wParam;
    a ^= b;
    if(a <= b)
        注册失败;
    else
        注册成功;
}
但是如果wParam的值一直为0的话程序本身好象是没法注册成功的，请指教

好像使用了线程注入？？

哪位大G给点揭示吧，这样的东西怎么跟踪啊？正好要到关键的地方了，就进行不下去了……都3天了…… 水平太菜了……

最初由 wsj 发布
好像使用了线程注入？？

哪位大G给点揭示吧，这样的东西怎么跟踪啊？正好要到关键的地方了，就进行不下去了……都3天了…… 水平太菜了……

是的。
只要找到验证处，就 ok 了.

楼主的验证代码是在EXPLORER进程中的，
想要跟踪验证方法就把EXPLORER进程附加。
先用OD加载程序，然后下断bp WriteProcessMemory，F9运行，
程序被断下来以后注意堆栈里的内容
0012FFB0   00000030  |hProcess = 00000030
0012FFB4   02C20000  |Address = 2C20000             <======注意这里是要在EXPLORER进程中附加代码的开始地址
0012FFB8   00401000  |Buffer = crackme2.00401000    <======这里是被附加代码的起始地址
0012FFBC   00000085  |BytesToWrite = 85 (133.)      <======这里是被附加代码的大小
0012FFC0   00000000  \pBytesWritten = NULL
好了，现在知道EXPLORER进程中代码的位置了是Address = 2C20000 ，接下来不要关掉OD，另外打开新的OD。用新打开的OD加载EXPLORER进程，然后CTRL+G添入我们刚才找到的地址2C20000点确定。现在便转到了EXPLORER进程中程序验证的部分了，至于程序在运行时是怎么判断的就要自己去试了。注意Address = 2C20000  这里的2C20000 在每次运行时都不一样的，所以不要直接填写2C20000 ，要在WriteProcessMemory被断时观察堆栈里的内容，找到验证处是比较简单的，只要将JBE SHORT 00401048改为JA SHORT 00401048就可以注册成功了。
想问下楼主我上面问到的是不是程序本身就没办法正常注册成功？

最初由 dummy 发布

是的。
只要找到验证处，就 ok 了.

这两天没有什么时间，等元旦了再好好研究一下。。。

最初由 forover 发布
楼主的验证代码是在EXPLORER进程中的，
想要跟踪验证方法就把EXPLORER进程附加。
先用OD加载程序，然后下断bp WriteProcessMemory，F9运行，
程序被断下来以后注意堆栈里的内容
0012FFB0 00000030 |hProcess = 00000030
........

我也不知道是否可以正常注册
这个程序只是想实现我的一个想法,已经失败了 。附件:crackme2_src.rar

好像是没有办法注册成功……只能爆……