今天看了lena的教程10。
记得这程序在安装时要输入用户名和EMAIL地址，估计这些信息用来算注册码的前20位。但是这个注册码的格式倒是很简单。
用这个注册码来验证4.03, 3.54版本，都能激活activation code

辜负大家了

发现了一个新的activation code，姑且称为quasi-acode

3334-6789-2345-7890-CF10
同第一个比较：
1234-6789-2345-7890-D154

看看呢，这说不定是个复杂的算法呢。仅仅前两个输入变了，后边4个就变了

搞不定是正常的，呵呵，用peid查了一下加密，结果5893b2代码有加密算法，二这段代码正是将前20个输入入栈的操作。难怪几次看到这里都觉得这个堆栈的操作无法理解

在指令 63ed54， 648054处有两处加密，是用来传送activation code到所谓的server处验证信息用的。

即如此,将activation  code 入栈的代码贴出来。望高手指点：

00589368  /$  55            push    ebp                                            ;  //move the 20 into stack, more on this
00589369  |.  8BEC          mov     ebp, esp
0058936B  |.  83C4 E8       add     esp, -18
0058936E  |.  894D F4       mov     dword ptr ss:[ebp-C], ecx
00589371  |.  66:8955 FA    mov     word ptr ss:[ebp-6], dx
00589375  |.  8945 FC       mov     dword ptr ss:[ebp-4], eax
00589378  |.  8B45 FC       mov     eax, dword ptr ss:[ebp-4]
0058937B  |.  8945 EC       mov     dword ptr ss:[ebp-14], eax                     ;  //code to stack, ebp-14=12f1ac
0058937E  |.  66:8B45 FA    mov     ax, word ptr ss:[ebp-6]                        ;  // ebp-6=14h
00589382  |.  66:85C0       test    ax, ax
00589385  |.  76 4C         jbe     short 005893D3
00589387  |.  66:8945 EA    mov     word ptr ss:[ebp-16], ax
0058938B  |.  66:C745 F2 01>mov     word ptr ss:[ebp-E], 1
00589391  |>  0FB745 F2     /movzx   eax, word ptr ss:[ebp-E]
00589395  |.  8B55 EC       |mov     edx, dword ptr ss:[ebp-14]
00589398  |.  0FB64402 FF   |movzx   eax, byte ptr ds:[edx+eax-1]
0058939D  |.  8B55 F4       |mov     edx, dword ptr ss:[ebp-C]                     ;  //ebp-c=acode
005893A0  |.  66:8B12       |mov     dx, word ptr ds:[edx]
005893A3  |.  66:81E2 FF00  |and     dx, 0FF                                       ;  //masking
005893A8  |.  66:33C2       |xor     ax, dx
005893AB  |.  0FB7C0        |movzx   eax, ax
005893AE  |.  66:8B0445 9C8>|mov     ax, word ptr ds:[eax*2+64809C]                ;  //again this statck
005893B6  |.  8B55 F4       |mov     edx, dword ptr ss:[ebp-C]
005893B9  |.  66:8B12       |mov     dx, word ptr ds:[edx]
005893BC  |.  66:C1EA 08    |shr     dx, 8
005893C0  |.  66:33C2       |xor     ax, dx
005893C3  |.  8B55 F4       |mov     edx, dword ptr ss:[ebp-C]
005893C6  |.  66:8902       |mov     word ptr ds:[edx], ax
005893C9  |.  66:FF45 F2    |inc     word ptr ss:[ebp-E]
005893CD  |.  66:FF4D EA    |dec     word ptr ss:[ebp-16]
005893D1  |.^ 75 BE         \jnz     short 00589391
005893D3  |>  8BE5          mov     esp, ebp                                       ;  //1st 20
005893D5  |.  5D            pop     ebp
005893D6  \.  C3            retn

楼主把这些集中到第一个帖子里吧,看着费劲

楼主说的不错,支持你一下...

的确不错，支持下

是不是将动画开新贴发布？我作天作好了

还是跟着这个帖子，因为我没有权限上传附件。所以这些swf也仅仅是连接。
这些swf是交互的，使用英文。

还有，破解软件是违法的吧
确认了这个，才决定发不发吧

最后，希望高手参与这个project,我冒昧的说：这个软件并不是想象的那么容易，可能会
弄得高手们头大
因为这个软件采用了push + retn 的格式来隐藏引用和直接的跳转，其次采用了加密算法来作前20位和后4位的生成。再次，getwindowtext, getdlgitem这些根本断不到任何信息。使用enablemenuitem会迷失在庞大的菜单标号中
:)
这个软件小巧适用，值得一破。

昨天看了lena的教程13，提到了用push+ retn的方法来隐藏程序的执行踪迹。比如
push x
code 1
code 2
..
retn
那么，这个retn就返回到了x所指的地址。注意这里的code 1, ..., 不包括retn
push+retn= (conditional) jump
用这个方法我从registered to字符串跟踪到了启动程序时检测激活与否的代码，但还没有突破

需要动画的email我

我也是新手,老是入不了门~

kkkkkkkkkkkkk

有空收集一下

动画部分，共6集。
包括：脱壳，改字符串，寻找隐藏字符串，更改按钮属性，激活码验证过程，补丁和进一步尝试
第5部分做得很简略，呵呵，跟着这个就可以搞懂基本的过程了。我这个不能叫课程，所以要
自己动脑经。
lena如是说：
tools and target
olly and your brain

:)

所以脑袋是无法给的

我贴出 comments和 bp列表，这样就可以跟着整个做一遍了。
呵呵，可能忘了做个怎样使用codefusion的swf了
:)

这个软件很容易上手的。
所有动画都用instant demo制作，采用lena的讲课风格。

再次谢谢大家的支持

最后介绍lena的 inline patching
1. 由于软件对代码容量的限制，导致更改某个指令时将后面的指令覆盖而导致程序无法象希望的那样运行。比如说， code 1占 2个字节，但目标指令code 2 占5个字节，这样的话，如果强制更改，就会导致后面4个字节的指令被覆盖。
怎么办呢？ 一般去数据去找空间，就是哪些opcode位00000这样的地方，选定这样的一处，比如说 是code 3，将code1后的4个字节的指令采用binary copy方式复制，并插入标签，标记，因为要回来更改。然后从将code 1代码改成跳转到 code 3, 然后将复制的代码粘贴在code 3后，然后在粘贴结束的代码处插入跳转到code 1后的代码处的跳转指令。
2。有写
指令采用cmp ss:[register+offset],hexdigit
的方式来作为跳转条件，由于目的操作数可能是变动的地址，所以不能强力更改。ss:[]中的不同值将决定程序执行什么操作。有些程序就用这样的堆栈的返回值来控制程序的子routine。这样就需要使用inline patch或者在控制分支较少的情况下，采用inc/dec/add ss[],这样的方式，或者采用
加代码的方式

附件在此：
http://www.live-share.com/files/192259/FlashDigger_swf.rar.html

包括instant demo,在此
http://www.live-share.com/files/192261/Instant_Demo_Professional_v5.00.03.rar.html

bp/comment list在此：
http://www.live-share.com/files/192262/FlashDigger05_comment.txt.html

http://www.live-share.com/files/192263/FlashDigger05_bp.obp.html

需要动画的朋友加紧下载，3天后删除。呵呵，我怕进监狱的

学习....期待中......

第五部分，请认真看，呵呵，如果有兴趣的话
包括以下几个补丁所对应的代码：
1。无条件激活activate button
2。 对任意hardware id输入返回真
3。 对任意activation code输入返回真
4。 对在线验证返回真
5。 解除demo版只能浏览20个文件的限制
6。 解除demo版只能保存第1帧的限制
7。 尝试从trial version字符串破解，这个对应到7个分支控制
8。 尝试从registered to字母串破解，其中这个对应到license文件的读取代码
9。 尝试从 are you sure to delete selected tag/frame字符串破解，这个对应到解除demo版
    无法delete tag/frame的限制

革命未成功，同志需努力啊

ArTeam的教程是bt种子，刚刚上传到liveshare上，贴好了连接，但论坛无法访问，连接丢失了，再上传一次：

http://www.live-share.com/files/179191/b-mininova.org-d__Cracking_Tutorials_and_Software.torrent.html
**********
请问解压密码多少?

解压密码，这个不是我设置的。
如果你下的不是lena写的ARTeam的教程，那么解压密码是：FiFo
这个带密码的压缩包是总结度很高的，简洁明了，但需要一定的经验。
lena的教程是没有解压密码的。

注意了，解压密码是区分大小写的
:)

哇`太好了
``找了好久了``谢谢咯``

慢慢学习  谢谢分享

收藏             。

呵呵。谢谢大家的支持和鼓励。
我会继续努力。有下了lena的教程的朋友一起学习啊。
我的qq: 65506119
加我请注明
lena151-newbie+

因为我相信看了lena的教程后，我们就是newbie+了

谢谢楼主
  谢谢

楼主能不能将你自己使用的那个Ollydbg提供下载呀！
谢谢！

呵呵。我的Olly是ollyice呵呵。加上plugin，然后自己设置颜色。
你可能喜欢我的Olly的颜色配置吧，呵呵，不刺眼，但对比度够强。

你会更改olly的plugin目录么？在 ollydbg.in里有个plugin path,填上对应的路径就可以了。同时，你还要设置script目录。这个你自己弄  :)

这个上传的Olly是我前天重新设置的，除了“内存数据转换”插件外，所有的插件都是原版英文的。它还包括我从Olly Teror中借用的代码转换工具Olly2Table v0.2a.exe, OllyDBG ASM to HTML Convert v2.1.EXE。以及我自己收集的Olly插件介绍，在文件Olly-Plugins.doc中。插件中有readme的，我都设置了对应的文件名。这里借用的两个数据转换插件足以替换“内存数据转换”插件。

我把olly打包了。
还有，olly tool bar插件的配置文件你可能要自己修改。因为你所要添加的工具未必在与我同样的目录里，或者未必有这些工具。这个不能问我要了啊。

记得，lena的第16课中展示了他自己做的超强的olly,但他说：
no need to ask me for this olly.

呵呵。

ollyice.rar is referenced here:

http://www.live-share.com/files/193694/OllyICE.rar.html

补充，如果在英文版中使用toolbar插件，就不要使用打过不定的cmdbar.dll,否则，每调一次颜色，stack窗口，就是左中不的那个小条，就挤扁一次。即使使用原配的cmdbar.dll ,每调一次颜色,所有窗口也会抖动一次。

:)

所以这个cmdbar还要修改修改，估计这个跟使用ollyice有关。在原版的ollydbg中就不会有这个现象