首页
社区
课程
招聘
[讨论]小程序逆向-请改窗口标题_ICY
发表于: 2007-2-28 23:34 5824

[讨论]小程序逆向-请改窗口标题_ICY

2007-2-28 23:34
5824
【讨论】小程序逆向-请改窗口标题_ICY

给大家讨论下,这类的资源应该如何修改....

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (11)
雪    币: 144
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
自己顶下,也抢个沙发,看看谁可以完成这光荣的任务,十分期待中.....
2007-2-28 23:38
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
最初由 卡秋莎 发布
自己顶下,也抢个沙发,看看谁可以完成这光荣的任务,十分期待中.....


只要成功找到标题的所在地和修改标题就可以了?还是有其他条件例如需要找出和使用程式里隐藏的资源?
2007-3-1 07:09
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
标题的文字应该是做成字符串资源了,不知怎么改
2007-3-1 10:42
0
雪    币: 144
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
最初由 creplave 发布
只要成功找到标题的所在地和修改标题就可以了?还是有其他条件例如需要找出和使用程式里隐藏的资源?


只要你把标题修改成已注册就OK,如果可以说下你是怎么做就最好了...期待下这朋友可以解决.....
2007-3-1 13:01
0
雪    币: 108
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
最初由 卡秋莎 发布
【讨论】小程序逆向-请改窗口标题_ICY

给大家讨论下,这类的资源应该如何修改....


用WinHex查看一下文本字串的"CrackMe"

旁边就是未注册CE BE 是"未"字,如果要改成"已" 是D2 D1

地址为00D625C2 00D625E2,用OD加载这个程序,F9,然后D 00D625C2

修改,就不知道要怎么做了!
2007-3-1 13:43
0
雪    币: 144
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
看看楼上这方法可以? 就没有一个朋友可以搞定?
2007-3-1 14:39
0
雪    币: 309
活跃值: (99)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
修改标题用资源修改的软件就可以了
2007-3-1 22:03
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
mingren````你这样说证明你肯定没有试过这crackme ,,如果有哪么容易改,楼

主还会发出来讨论吗 !!!!!!!!!!
2007-3-2 09:14
0
雪    币: 2443
活跃值: (464)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
10
读取资源字符串(/!.NXX⑤棺?):
00407F00  push    ebx
00407F01  push    esi                            ;  请改窗口.00407F00
00407F02  add     esp, -400
00407F08  mov     esi, eax
00407F0A  mov     ebx, edx
00407F0C  push    400                            ; /Count = 400 (1024.)
00407F11  lea     eax, dword ptr [esp+4]         ; |
00407F15  push    eax                            ; |Buffer
00407F16  mov     eax, dword ptr [ebx]           ; |
00407F18  push    eax                            ; |RsrcID=1
00407F19  push    esi                            ; |hInst
00407F1A  call    <jmp.&user32.LoadStringA>      ; \LoadStringA
00407F1F  mov     ecx, eax
00407F21  mov     edx, esp
00407F23  lea     eax, dword ptr [ebx+4]
00407F26  call    00403F00
00407F2B  cmp     dword ptr [ebx+4], 0
00407F2F  sete    al
00407F32  add     esp, 400
00407F38  pop     esi
00407F39  pop     ebx
00407F3A  retn

0044F483  mov     edx, 0044F4DC                  ;  传入密钥:linux
0044F488  call    0044F390                       ;  解密字符串
{
0044F390  push    ebp
0044F391  mov     ebp, esp
0044F393  add     esp, -10
0044F396  push    ebx
0044F397  push    esi
0044F398  push    edi
0044F399  xor     ebx, ebx
0044F39B  mov     dword ptr [ebp-10], ebx
0044F39E  mov     edi, ecx
0044F3A0  mov     dword ptr [ebp-8], edx
0044F3A3  mov     dword ptr [ebp-4], eax
0044F3A6  mov     eax, dword ptr [ebp-4]
0044F3A9  call    004042C0
0044F3AE  mov     eax, dword ptr [ebp-8]
0044F3B1  call    004042C0
0044F3B6  xor     eax, eax
0044F3B8  push    ebp
0044F3B9  push    0044F44A
0044F3BE  push    dword ptr fs:[eax]
0044F3C1  mov     dword ptr fs:[eax], esp
0044F3C4  mov     ebx, 1
0044F3C9  mov     eax, edi
0044F3CB  call    00403E10
0044F3D0  mov     eax, dword ptr [ebp-4]
0044F3D3  call    004040D0
0044F3D8  mov     esi, eax
0044F3DA  test    esi, esi
0044F3DC  jle     short 0044F427
0044F3DE  mov     dword ptr [ebp-C], 1
0044F3E5  /lea     eax, dword ptr [ebp-10]
0044F3E8  |mov     edx, dword ptr [ebp-4]
0044F3EB  |mov     ecx, dword ptr [ebp-C]
0044F3EE  |mov     dl, byte ptr [edx+ecx-1]      ;  逐位取出加密的字符
0044F3F2  |mov     ecx, dword ptr [ebp-8]
0044F3F5  |mov     cl, byte ptr [ecx+ebx-1]      ;  逐位和密钥xor运算
0044F3F9  |xor     dl, cl
0044F3FB  |call    00403FF8
0044F400  |mov     edx, dword ptr [ebp-10]
0044F403  |mov     eax, edi
0044F405  |call    004040D8
0044F40A  |mov     eax, dword ptr [ebp-8]
0044F40D  |call    004040D0
0044F412  |lea     edx, dword ptr [ebx+1]
0044F415  |cmp     eax, edx
0044F417  |jl      short 0044F41C
0044F419  |inc     ebx
0044F41A  |jmp     short 0044F421
0044F41C  |mov     ebx, 1
0044F421  |inc     dword ptr [ebp-C]
0044F424  |dec     esi
0044F425  \jnz     short 0044F3E5
0044F427  xor     eax, eax
0044F429  pop     edx
0044F42A  pop     ecx
0044F42B  pop     ecx
0044F42C  mov     dword ptr fs:[eax], edx
0044F42F  push    0044F451
0044F434  lea     eax, dword ptr [ebp-10]
0044F437  call    00403E10
0044F43C  lea     eax, dword ptr [ebp-8]
0044F43F  mov     edx, 2
0044F444  call    00403E34
0044F449  retn
}

修改资源字符串为    /!.NXX靖棺?   即可!
2007-3-2 09:53
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
最初由 飘云 发布
读取资源字符串(/!.NXX⑤棺?):
00407F00 push ebx
00407F01 push esi ; 请改窗口.00407F00
00407F02 add esp, -400
00407F08 mov esi, eax
........


请问怎样把“已注册”变成 = 靖棺?

我分析过这个crackme ,也得知资源字符串的所在地,也知道“⑤棺?” = 未注册,但是我一直搞不懂怎样还原,难道是我的中文不好? 还是我使用英文的windows xp 关系?  
2007-3-2 11:26
0
雪    币: 144
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
解密那东西,好象有点明显......
2007-3-2 13:12
0
游客
登录 | 注册 方可回帖
返回
//