首页
社区
课程
招聘
[原创]休闲麻将 P-CODE 浅析
发表于: 2007-3-31 20:18 20023

[原创]休闲麻将 P-CODE 浅析

2007-3-31 20:18
20023

【文章作者】GoOdLeiSuRe
【分析时间】2007年3月30日
【分析说明】本人很菜,完全入门水准,恳请指正,谢谢。

【软件名称】休闲麻将 3.4
【软件大小】4.43MB
【下载地址】http://zj1.51.net/mj.htm
【软件限制】这是一个共享软件(有30次使用及每次7局限制),注册费:30元,注册后将无任何使用限制。
【注册类型】机器码 + 用户名 -> 注册码,网络验证
【破解过程】
主程序:Mj.exe
PEiD检查:ASPack 2.12 -> Alexey Solodovnikov
脱壳:用AspackDie直接脱
PEiD再检查:Microsoft Visual Basic 5.0 / 6.0
编译方式:用OllyDBG加载,感觉是P-CODE,用WKTVBDebugger加载,果然是P-CODE

//加载后停于此
0049A850: 00 LargeBos
//一路F8瞧瞧
0049A852: 00 LargeBos
0049A854: 4B OnErrorGoto Next
0049A857: 00 LargeBos
0049A859: 04 FLdRfVar 0070FB56h
0049A85C: 04 FLdRfVar 0070FB58h
0049A85F: 05 ImpAdLdRf
0049A862: 24 NewIfNullPr 0041CEA8
0049A865: 0D VCallHresult CVBApp::get_App
0049A86A: 08 FLdPr
0049A86D: 0D VCallHresult get__ipropPrevInstanceAPP
0049A872: 6B FLdI2
0049A875: 1A FFree1Ad
0049A878: 1C BranchF 0049A87F (Jump )
0049A87B: 00 LargeBos
0049A87D: FC Lead1/End
0049A87F: 00 LargeBos
//读取安装目录吧?
0049A881: 1B LitStr: 'SetupDir'
0049A884: 43 FStStrCopy
0049A87B: 00 LargeBos
0049A87D: FC Lead1/End
0049A87F: 00 LargeBos
0049A881: 1B LitStr: 'SetupDir'
0049A884: 43 FStStrCopy
0049A887: 04 FLdRfVar 0070FB48h
//注册表字符串,说不定用户名与注册码也会储存在这儿
0049A88A: 1B LitStr: 'SoftWare\NetMJ\Infomation'
0049A88D: 43 FStStrCopy
0049A890: 04 FLdRfVar 0070FB4Ch
0049A893: F5 LitI4: -> 80000002h -2147483646
0049A898: 59 PopTmpLdAdStr
//读取注册表“SoftWare\NetMJ\Infomation”,获取“SetupDir”值
0049A89B: 0B ImpAdCallI2 modPubTools!0044C5C4h
0049A8A0: 31 FStStr
……
//F5运行
0044485C: 04 FLdRfVar 0070F378h
0044485F: 21 FLdPrThis 004FC52Ch
00444860: 0F VCallAd frmUserReg.txtUserName
00444863: 19 FStAdFunc 0070F37C
00444866: 08 FLdPr
00444869: 0D VCallHresult get__ipropTEXTEDIT
0044486E: 6C ILdRf 00000000h
00444871: 0B ImpAdCallI2 rtcTrimBstr on address 660E6AC5h
//用户名
00444876: FD Lead2/PopTmpLdAdStr
0044487A: 1B LitStr: 'RegName'
0044487D: 43 FStStrCopy
00444880: 04 FLdRfVar 0070F36Ch
00444883: 1B LitStr: 'SoftWare\NetMJ\Infomation'
00444886: 43 FStStrCopy
00444889: 04 FLdRfVar 0070F370h
0044488C: F5 LitI4: -> 80000002h -2147483646
00444891: 59 PopTmpLdAdStr
00444894: 0A ImpAdCallFPR4 modPubTools!0044507Ch
00444899: 32 FFreeStr
004448A4: 1A FFree1Ad
004448A7: 04 FLdRfVar 0070F378h
004448AA: 21 FLdPrThis 004FC52Ch
004448AB: 0F VCallAd frmUserReg.txtPassword
004448AE: 19 FStAdFunc
004448B1: 08 FLdPr
004448B4: 0D VCallHresult get__ipropTEXTEDIT
004448B9: 6C ILdRf 00000000h
004448BC: 0B ImpAdCallI2 rtcTrimBstr on address 660E6AC5h
//注册码
004448C1: FD Lead2/PopTmpLdAdStr
004448C5: 1B LitStr: 'RegCode'
004448C8: 43 FStStrCopy
004448CB: 04 FLdRfVar 0070F36Ch
004448CE: 1B LitStr: 'SoftWare\NetMJ\Infomation'
004448D1: 43 FStStrCopy
004448D4: 04 FLdRfVar 0070F370h
004448D7: F5 LitI4: -> 80000002h -2147483646
004448DC: 59 PopTmpLdAdStr
004448DF: 0A ImpAdCallFPR4 modPubTools!0044507Ch
004448E4: 32 FFreeStr

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (19)
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
2
非常好,
我没用过VBVKTDEBUG(一直运行不起来),以前爆破过休闲麻将v3.2.275,因为P-CODE的缘故,用OD非常吃力。
今天看到你的破文,如此清晰
2007-3-31 21:21
0
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
3
网络验证直接跳过,不检测则OK了
2007-3-31 21:21
0
雪    币: 144
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
是不是WKT断不了启动的NAG呢 :(
2007-3-31 22:25
0
雪    币: 144
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
你把WKT那DLL放在sys32没有啊 :)
2007-3-31 22:36
0
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
6
oh,Thank you,
好像提示要替换system32下的某个dll,为了系统稳定,我就放弃了
2007-4-1 11:15
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
支持,楼主强人
2007-4-1 16:20
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
要是用注册文件就晕了
2007-4-1 16:22
0
雪    币: 405
活跃值: (10)
能力值: ( LV9,RANK:1130 )
在线值:
发帖
回帖
粉丝
9
厉害厉害。修改host能通过网络验证啊~~原来如此,我试试看哦
2007-4-1 18:14
0
雪    币: 203
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
Running under win NT/2000,Version:5.1
我在调试的时候显示这个提示,怎么解决?
2007-4-1 19:21
0
雪    币: 136
活跃值: (105)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
11
又学习一招简单的爆破网络验证哈哈
2007-4-1 21:09
0
雪    币: 237
活跃值: (175)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
12
是替换"imagehlp.dll"吧?担心的话,忽略就可以了。
2007-4-1 21:16
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
楼主是不是说只要HOST改一下就可以了通过了还是要修其它的??
2007-4-14 22:38
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
比如我正确注册信息验证码申请的数据为这个 /aa/default.aspx?koulingID=test6792&jiamiID=SDLFSDLFQQPDEEEEQQYVLFYVYVLFQQYVLFYVQQPDQQQQXHPDYVEEGEYVSDXHEEQQGEYVLFSDLF&mimaID=1235dbew  服务器为WWW.XXX.COM  那么在我本地要怎么样正行设置,才能变成本地验证,,, 是不在HOST改成27.0.0.1   WWW.XXX.COM 那要本地服务的根目录下要怎样建文件和文件内容的代码是什么, 高手请指教,
2007-4-14 22:45
0
雪    币: 180
活跃值: (59)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
我这里看楼主文章怎么会这样,好像重叠了
上传的附件:
2007-4-15 09:22
0
雪    币: 82
活跃值: (627)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
怎么会有文字重叠?
2007-4-15 10:35
0
雪    币: 178
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
牛啊~~~~~
2007-4-15 12:41
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
完全不懂,这段怎么解,能说详细点?怎么找?和调出?

重新加载,并由以上信息“ImpAdCallI2 modPubTools!0044C5C4h”找出调用注册信息的位置
2007-4-16 10:41
0
雪    币: 237
活跃值: (175)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
19
相当于告诉你: 拦截信息框用 BPX MessageBoxA
2007-4-18 20:36
0
雪    币: 237
活跃值: (175)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
20
仅供参考:用这种方式,可以编个ASP或其支持的动态交互页面转一下。至于代码:response.redirect("...Google搜搜吧...")
2007-4-18 20:44
0
游客
登录 | 注册 方可回帖
返回
//