[原创]休闲麻将 P-CODE 浅析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]休闲麻将 P-CODE 浅析

发表于: 2007-3-31 20:18 19983

[原创]休闲麻将 P-CODE 浅析

GoOdLeiSuRe 活跃值

2007-3-31 20:18

19983

【文章作者】GoOdLeiSuRe
【分析时间】2007年3月30日
【分析说明】本人很菜，完全入门水准，恳请指正，谢谢。

【软件名称】休闲麻将 3.4
【软件大小】4.43MB
【下载地址】http://zj1.51.net/mj.htm
【软件限制】这是一个共享软件（有30次使用及每次7局限制），注册费：30元，注册后将无任何使用限制。
【注册类型】机器码 + 用户名 -> 注册码，网络验证
【破解过程】
主程序：Mj.exe
PEiD检查：ASPack 2.12 -> Alexey Solodovnikov
脱壳：用AspackDie直接脱
PEiD再检查：Microsoft Visual Basic 5.0 / 6.0
编译方式：用OllyDBG加载，感觉是P-CODE，用WKTVBDebugger加载，果然是P-CODE

//加载后停于此
0049A850: 00 LargeBos
//一路F8瞧瞧
0049A852: 00 LargeBos
0049A854: 4B OnErrorGoto Next
0049A857: 00 LargeBos
0049A859: 04 FLdRfVar 0070FB56h
0049A85C: 04 FLdRfVar 0070FB58h
0049A85F: 05 ImpAdLdRf
0049A862: 24 NewIfNullPr 0041CEA8
0049A865: 0D VCallHresult CVBApp::get_App
0049A86A: 08 FLdPr
0049A86D: 0D VCallHresult get__ipropPrevInstanceAPP
0049A872: 6B FLdI2
0049A875: 1A FFree1Ad
0049A878: 1C BranchF 0049A87F (Jump )
0049A87B: 00 LargeBos
0049A87D: FC Lead1/End
0049A87F: 00 LargeBos
//读取安装目录吧？
0049A881: 1B LitStr: 'SetupDir'
0049A884: 43 FStStrCopy
0049A87B: 00 LargeBos
0049A87D: FC Lead1/End
0049A87F: 00 LargeBos
0049A881: 1B LitStr: 'SetupDir'
0049A884: 43 FStStrCopy
0049A887: 04 FLdRfVar 0070FB48h
//注册表字符串，说不定用户名与注册码也会储存在这儿
0049A88A: 1B LitStr: 'SoftWare\NetMJ\Infomation'
0049A88D: 43 FStStrCopy
0049A890: 04 FLdRfVar 0070FB4Ch
0049A893: F5 LitI4: -> 80000002h -2147483646
0049A898: 59 PopTmpLdAdStr
//读取注册表“SoftWare\NetMJ\Infomation”，获取“SetupDir”值
0049A89B: 0B ImpAdCallI2 modPubTools!0044C5C4h
0049A8A0: 31 FStStr
……
//F5运行

0044485C: 04 FLdRfVar 0070F378h
0044485F: 21 FLdPrThis 004FC52Ch
00444860: 0F VCallAd frmUserReg.txtUserName
00444863: 19 FStAdFunc 0070F37C
00444866: 08 FLdPr
00444869: 0D VCallHresult get__ipropTEXTEDIT
0044486E: 6C ILdRf 00000000h
00444871: 0B ImpAdCallI2 rtcTrimBstr on address 660E6AC5h
//用户名
00444876: FD Lead2/PopTmpLdAdStr
0044487A: 1B LitStr: 'RegName'
0044487D: 43 FStStrCopy
00444880: 04 FLdRfVar 0070F36Ch
00444883: 1B LitStr: 'SoftWare\NetMJ\Infomation'
00444886: 43 FStStrCopy
00444889: 04 FLdRfVar 0070F370h
0044488C: F5 LitI4: -> 80000002h -2147483646
00444891: 59 PopTmpLdAdStr
00444894: 0A ImpAdCallFPR4 modPubTools!0044507Ch
00444899: 32 FFreeStr
004448A4: 1A FFree1Ad
004448A7: 04 FLdRfVar 0070F378h
004448AA: 21 FLdPrThis 004FC52Ch
004448AB: 0F VCallAd frmUserReg.txtPassword
004448AE: 19 FStAdFunc
004448B1: 08 FLdPr
004448B4: 0D VCallHresult get__ipropTEXTEDIT
004448B9: 6C ILdRf 00000000h
004448BC: 0B ImpAdCallI2 rtcTrimBstr on address 660E6AC5h
//注册码
004448C1: FD Lead2/PopTmpLdAdStr
004448C5: 1B LitStr: 'RegCode'
004448C8: 43 FStStrCopy
004448CB: 04 FLdRfVar 0070F36Ch
004448CE: 1B LitStr: 'SoftWare\NetMJ\Infomation'
004448D1: 43 FStStrCopy
004448D4: 04 FLdRfVar 0070F370h
004448D7: F5 LitI4: -> 80000002h -2147483646
004448DC: 59 PopTmpLdAdStr
004448DF: 0A ImpAdCallFPR4 modPubTools!0044507Ch
004448E4: 32 FFreeStr

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・7

免费・7

支持

最新回复 (19)
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 2 楼非常好，我没用过VBVKTDEBUG（一直运行不起来），以前爆破过休闲麻将v3.2.275，因为P-CODE的缘故，用OD非常吃力。今天看到你的破文，如此清晰 2007-3-31 21:21 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 3 楼网络验证直接跳过，不检测则OK了 2007-3-31 21:21 0
卡秋莎雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 57 回帖 424 粉丝 0 关注私信	卡秋莎 4 楼是不是WKT断不了启动的NAG呢：（ 2007-3-31 22:25 0
卡秋莎雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 57 回帖 424 粉丝 0 关注私信	卡秋莎 5 楼你把WKT那DLL放在sys32没有啊：） 2007-3-31 22:36 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 6 楼 oh,Thank you, 好像提示要替换system32下的某个dll,为了系统稳定,我就放弃了 2007-4-1 11:15 0
scuCBJ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 82 粉丝 0 关注私信	scuCBJ 7 楼支持，楼主强人 2007-4-1 16:20 0
scuCBJ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 82 粉丝 0 关注私信	scuCBJ 8 楼要是用注册文件就晕了 2007-4-1 16:22 0
binbinbin 雪币： 405 活跃值： (10) 能力值： ( LV9，RANK：1130 ) 在线值：发帖 51 回帖 690 粉丝 0 关注私信	binbinbin 28 9 楼厉害厉害。修改host能通过网络验证啊~~原来如此，我试试看哦 2007-4-1 18:14 0
wangcl 雪币： 203 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 72 粉丝 1 关注私信	wangcl 10 楼 Running under win NT/2000,Version:5.1 我在调试的时候显示这个提示，怎么解决？ 2007-4-1 19:21 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 11 楼又学习一招简单的爆破网络验证哈哈 2007-4-1 21:09 0
GoOdLeiSuRe 雪币： 237 活跃值： (175) 能力值： ( LV9，RANK：170 ) 在线值：发帖 12 回帖 117 粉丝 0 关注私信	GoOdLeiSuRe 4 12 楼是替换"imagehlp.dll"吧？担心的话，忽略就可以了。 2007-4-1 21:16 0
中山三少雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	中山三少 13 楼楼主是不是说只要HOST改一下就可以了通过了还是要修其它的?? 2007-4-14 22:38 0
中山三少雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	中山三少 14 楼比如我正确注册信息验证码申请的数据为这个 /aa/default.aspx?koulingID=test6792&jiamiID=SDLFSDLFQQPDEEEEQQYVLFYVYVLFQQYVLFYVQQPDQQQQXHPDYVEEGEYVSDXHEEQQGEYVLFSDLF&mimaID=1235dbew 服务器为WWW.XXX.COM 那么在我本地要怎么样正行设置,才能变成本地验证,,, 是不在HOST改成27.0.0.1 WWW.XXX.COM 那要本地服务的根目录下要怎样建文件和文件内容的代码是什么, 高手请指教, 2007-4-14 22:45 0
deadlybugs 雪币： 180 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 156 粉丝 0 关注私信	deadlybugs 15 楼我这里看楼主文章怎么会这样，好像重叠了上传的附件： Snap1.jpg （77.38kb，230次下载） 2007-4-15 09:22 0
heimei 雪币： 82 活跃值： (531) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 278 粉丝 1 关注私信	heimei 16 楼怎么会有文字重叠？ 2007-4-15 10:35 0
jsjcjsjc 雪币： 178 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 70 粉丝 0 关注私信	jsjcjsjc 17 楼牛啊～～～～～ 2007-4-15 12:41 0
由于雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	由于 18 楼完全不懂，这段怎么解，能说详细点？怎么找？和调出？重新加载，并由以上信息“ImpAdCallI2 modPubTools!0044C5C4h”找出调用注册信息的位置 2007-4-16 10:41 0
GoOdLeiSuRe 雪币： 237 活跃值： (175) 能力值： ( LV9，RANK：170 ) 在线值：发帖 12 回帖 117 粉丝 0 关注私信	GoOdLeiSuRe 4 19 楼相当于告诉你：拦截信息框用 BPX MessageBoxA 2007-4-18 20:36 0
GoOdLeiSuRe 雪币： 237 活跃值： (175) 能力值： ( LV9，RANK：170 ) 在线值：发帖 12 回帖 117 粉丝 0 关注私信	GoOdLeiSuRe 4 20 楼仅供参考：用这种方式，可以编个ASP或其支持的动态交互页面转一下。至于代码：response.redirect("...Google搜搜吧...") 2007-4-18 20:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

GoOdLeiSuRe

发帖

117

回帖

170

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 2 楼非常好，我没用过VBVKTDEBUG（一直运行不起来），以前爆破过休闲麻将v3.2.275，因为P-CODE的缘故，用OD非常吃力。今天看到你的破文，如此清晰 2007-3-31 21:21 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 3 楼网络验证直接跳过，不检测则OK了 2007-3-31 21:21 0
卡秋莎雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 57 回帖 424 粉丝 0 关注私信	卡秋莎 4 楼是不是WKT断不了启动的NAG呢：（ 2007-3-31 22:25 0
卡秋莎雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 57 回帖 424 粉丝 0 关注私信	卡秋莎 5 楼你把WKT那DLL放在sys32没有啊：） 2007-3-31 22:36 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 6 楼 oh,Thank you, 好像提示要替换system32下的某个dll,为了系统稳定,我就放弃了 2007-4-1 11:15 0
scuCBJ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 82 粉丝 0 关注私信	scuCBJ 7 楼支持，楼主强人 2007-4-1 16:20 0
scuCBJ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 82 粉丝 0 关注私信	scuCBJ 8 楼要是用注册文件就晕了 2007-4-1 16:22 0
binbinbin 雪币： 405 活跃值： (10) 能力值： ( LV9，RANK：1130 ) 在线值：发帖 51 回帖 690 粉丝 0 关注私信	binbinbin 28 9 楼厉害厉害。修改host能通过网络验证啊~~原来如此，我试试看哦 2007-4-1 18:14 0
wangcl 雪币： 203 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 72 粉丝 1 关注私信	wangcl 10 楼 Running under win NT/2000,Version:5.1 我在调试的时候显示这个提示，怎么解决？ 2007-4-1 19:21 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 11 楼又学习一招简单的爆破网络验证哈哈 2007-4-1 21:09 0
GoOdLeiSuRe 雪币： 237 活跃值： (175) 能力值： ( LV9，RANK：170 ) 在线值：发帖 12 回帖 117 粉丝 0 关注私信	GoOdLeiSuRe 4 12 楼是替换"imagehlp.dll"吧？担心的话，忽略就可以了。 2007-4-1 21:16 0
中山三少雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	中山三少 13 楼楼主是不是说只要HOST改一下就可以了通过了还是要修其它的?? 2007-4-14 22:38 0
中山三少雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	中山三少 14 楼比如我正确注册信息验证码申请的数据为这个 /aa/default.aspx?koulingID=test6792&jiamiID=SDLFSDLFQQPDEEEEQQYVLFYVYVLFQQYVLFYVQQPDQQQQXHPDYVEEGEYVSDXHEEQQGEYVLFSDLF&mimaID=1235dbew 服务器为WWW.XXX.COM 那么在我本地要怎么样正行设置,才能变成本地验证,,, 是不在HOST改成27.0.0.1 WWW.XXX.COM 那要本地服务的根目录下要怎样建文件和文件内容的代码是什么, 高手请指教, 2007-4-14 22:45 0
deadlybugs 雪币： 180 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 156 粉丝 0 关注私信	deadlybugs 15 楼我这里看楼主文章怎么会这样，好像重叠了上传的附件： Snap1.jpg （77.38kb，230次下载） 2007-4-15 09:22 0
heimei 雪币： 82 活跃值： (531) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 278 粉丝 1 关注私信	heimei 16 楼怎么会有文字重叠？ 2007-4-15 10:35 0
jsjcjsjc 雪币： 178 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 70 粉丝 0 关注私信	jsjcjsjc 17 楼牛啊～～～～～ 2007-4-15 12:41 0
由于雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	由于 18 楼完全不懂，这段怎么解，能说详细点？怎么找？和调出？重新加载，并由以上信息“ImpAdCallI2 modPubTools!0044C5C4h”找出调用注册信息的位置 2007-4-16 10:41 0
GoOdLeiSuRe 雪币： 237 活跃值： (175) 能力值： ( LV9，RANK：170 ) 在线值：发帖 12 回帖 117 粉丝 0 关注私信	GoOdLeiSuRe 4 19 楼相当于告诉你：拦截信息框用 BPX MessageBoxA 2007-4-18 20:36 0
GoOdLeiSuRe 雪币： 237 活跃值： (175) 能力值： ( LV9，RANK：170 ) 在线值：发帖 12 回帖 117 粉丝 0 关注私信	GoOdLeiSuRe 4 20 楼仅供参考：用这种方式，可以编个ASP或其支持的动态交互页面转一下。至于代码：response.redirect("...Google搜搜吧...") 2007-4-18 20:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复