[VC6.0][ASProtect 2.1x SKE][Stolen Code]BetterJPEG 1.5.0.5-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (34) ◀ 1 2
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 26 楼补充：解决About的问题： OD载入脱壳修复后程序，搜索字符串，来到： 0040F68E B9 86DA4400 mov ecx,gao_.0044DA86 ; ASCII " not valid. Please register to obtain a valid registration key." 往下步进，修改这个je为jmp： 0040F6B0 /0F84 23000000 je gao_.0040F6D9 因为相等的话就说明这个key无效，所以修改跳转。呵呵，这下点击About不再出错，注册给JPEG了。继续往下来到注册用户名的地方： 0040F897 /74 39 je short gao_.0040F8D2 ; nop掉 0040F899 \|68 14DB4400 push gao_.0044DB14 ; ASCII "This product is licensed to:" 0040F89E E8 D3800200 call <jmp.&mfc42.#6199> 0040F8A3 8D4424 10 lea eax,dword ptr ss:[esp+10] 0040F8A7 8BCF mov ecx,edi 0040F8A9 50 push eax 0040F8AA E8 B1530200 call gao_.00434C60 ; 跟进 0040F8AF 8B00 mov eax,dword ptr ds:[eax] ; 注意这个值 0040F8B1 8D8E 74010000 lea ecx,dword ptr ds:[esi+174] 0040F8B7 50 push eax 0040F8B8 C64424 64 04 mov byte ptr ss:[esp+64],4 0040F8BD E8 B4800200 call <jmp.&mfc42.#6199> 0040F8C2 8D4C24 10 lea ecx,dword ptr ss:[esp+10] 0040F8C6 C64424 60 01 mov byte ptr ss:[esp+60],1 0040F8CB E8 967E0200 call <jmp.&mfc42.#800> 0040F8D0 EB 1A jmp short gao_1.0040F8EC 整个这段代码就是0040F8AA的call是code的，发现修改这个call后的eax值：堆栈 ds:[0012F3D0]=011BA384, (ASCII "cyto") 011BA384 63 79 74 6F 00 00 BA 0D cyto..? 那么注册用户名就是cyto。跟进0040F8AA E8 B1530200 call gao_.00434C60 看看在哪里赋值： 00434C60 51 push ecx 00434C61 A1 44E94400 mov eax,dword ptr ds:[44E944] ; 这里赋值？ 00434C66 56 push esi 00434C67 8B7424 0C mov esi,dword ptr ss:[esp+C] 00434C6B 50 push eax 00434C6C 8BCE mov ecx,esi 00434C6E C74424 08 00000000 mov dword ptr ss:[esp+8],0 00434C76 E8 E52A0000 call <jmp.&mfc42.#537> 00434C7B 8BC6 mov eax,esi 00434C7D 5E pop esi 00434C7E 59 pop ecx 00434C7F C2 0400 retn 4 看来看去就只有ds:[44E944]最可疑，好，对他下手试试，找块空间，写上： 0043EFE0 63 79 74 6F 00 00 00 00 cyto.... 然后修改ds:[44E944]为： 0044E944 0043EFE0 ASCII "cyto" 全部保存修改。呵呵，点击About成功的显示： This product is licensed to: cyto 2006-6-22 06:54 0
wzwgp 雪币： 333 活跃值： (40) 能力值： ( LV9，RANK：730 ) 在线值：发帖 28 回帖 141 粉丝 0 关注私信	wzwgp 18 27 楼谢谢楼主，需要这样的内容学习。 2006-6-22 12:08 0
kine 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	kine 28 楼晕咯........................... 2006-6-25 13:54 0
longmarch 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	longmarch 29 楼不错，学习一下。 2006-6-26 16:08 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 30 楼不错,学习! 2006-6-26 16:18 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 6 关注私信	zhuwg 11 31 楼支持，不错。 2006-7-14 08:14 0
lgabc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	lgabc 32 楼很好，没发现什么问题啊，能力有限 2006-7-14 10:36 0
FireDrake 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	FireDrake 33 楼向“cyto”致敬！！！你的辛劳鼓励了我们这些新手！！！感谢你！辛苦了！大热的天谨防中暑啊！！！ 2006-7-14 11:07 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 34 楼这个倒还是简单的用补区段10分钟可以OK了但2.2的就难了附上我修改的程序可以参考一下的上传的附件：复件 crypted-5.rar （362.83kb，4次下载） 2006-10-24 15:37 0
deardream 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	deardream 35 楼下载观摩，好厉害的说~！ 2006-10-24 17:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (34) ◀ 1 2
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 26 楼补充：解决About的问题： OD载入脱壳修复后程序，搜索字符串，来到： 0040F68E B9 86DA4400 mov ecx,gao_.0044DA86 ; ASCII " not valid. Please register to obtain a valid registration key." 往下步进，修改这个je为jmp： 0040F6B0 /0F84 23000000 je gao_.0040F6D9 因为相等的话就说明这个key无效，所以修改跳转。呵呵，这下点击About不再出错，注册给JPEG了。继续往下来到注册用户名的地方： 0040F897 /74 39 je short gao_.0040F8D2 ; nop掉 0040F899 \|68 14DB4400 push gao_.0044DB14 ; ASCII "This product is licensed to:" 0040F89E E8 D3800200 call <jmp.&mfc42.#6199> 0040F8A3 8D4424 10 lea eax,dword ptr ss:[esp+10] 0040F8A7 8BCF mov ecx,edi 0040F8A9 50 push eax 0040F8AA E8 B1530200 call gao_.00434C60 ; 跟进 0040F8AF 8B00 mov eax,dword ptr ds:[eax] ; 注意这个值 0040F8B1 8D8E 74010000 lea ecx,dword ptr ds:[esi+174] 0040F8B7 50 push eax 0040F8B8 C64424 64 04 mov byte ptr ss:[esp+64],4 0040F8BD E8 B4800200 call <jmp.&mfc42.#6199> 0040F8C2 8D4C24 10 lea ecx,dword ptr ss:[esp+10] 0040F8C6 C64424 60 01 mov byte ptr ss:[esp+60],1 0040F8CB E8 967E0200 call <jmp.&mfc42.#800> 0040F8D0 EB 1A jmp short gao_1.0040F8EC 整个这段代码就是0040F8AA的call是code的，发现修改这个call后的eax值：堆栈 ds:[0012F3D0]=011BA384, (ASCII "cyto") 011BA384 63 79 74 6F 00 00 BA 0D cyto..? 那么注册用户名就是cyto。跟进0040F8AA E8 B1530200 call gao_.00434C60 看看在哪里赋值： 00434C60 51 push ecx 00434C61 A1 44E94400 mov eax,dword ptr ds:[44E944] ; 这里赋值？ 00434C66 56 push esi 00434C67 8B7424 0C mov esi,dword ptr ss:[esp+C] 00434C6B 50 push eax 00434C6C 8BCE mov ecx,esi 00434C6E C74424 08 00000000 mov dword ptr ss:[esp+8],0 00434C76 E8 E52A0000 call <jmp.&mfc42.#537> 00434C7B 8BC6 mov eax,esi 00434C7D 5E pop esi 00434C7E 59 pop ecx 00434C7F C2 0400 retn 4 看来看去就只有ds:[44E944]最可疑，好，对他下手试试，找块空间，写上： 0043EFE0 63 79 74 6F 00 00 00 00 cyto.... 然后修改ds:[44E944]为： 0044E944 0043EFE0 ASCII "cyto" 全部保存修改。呵呵，点击About成功的显示： This product is licensed to: cyto 2006-6-22 06:54 0
wzwgp 雪币： 333 活跃值： (40) 能力值： ( LV9，RANK：730 ) 在线值：发帖 28 回帖 141 粉丝 0 关注私信	wzwgp 18 27 楼谢谢楼主，需要这样的内容学习。 2006-6-22 12:08 0
kine 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	kine 28 楼晕咯........................... 2006-6-25 13:54 0
longmarch 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	longmarch 29 楼不错，学习一下。 2006-6-26 16:08 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 30 楼不错,学习! 2006-6-26 16:18 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 6 关注私信	zhuwg 11 31 楼支持，不错。 2006-7-14 08:14 0
lgabc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	lgabc 32 楼很好，没发现什么问题啊，能力有限 2006-7-14 10:36 0
FireDrake 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	FireDrake 33 楼向“cyto”致敬！！！你的辛劳鼓励了我们这些新手！！！感谢你！辛苦了！大热的天谨防中暑啊！！！ 2006-7-14 11:07 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 34 楼这个倒还是简单的用补区段10分钟可以OK了但2.2的就难了附上我修改的程序可以参考一下的上传的附件：复件 crypted-5.rar （362.83kb，4次下载） 2006-10-24 15:37 0
deardream 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	deardream 35 楼下载观摩，好厉害的说~！ 2006-10-24 17:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复