-
-
[旧帖] [求助]随机机器玛问题 0.00雪花
-
发表于: 2007-6-5 00:26
-
帮朋友看一个软件,是Delphi编写的.
运行后提示输入注册玛.
但是点“确定”无任何错误.
想把NaG去处
下断 bp ShowWindow后断下
返回了想改 关键的把NAG去掉
可惜改了3个小时NAG还是有
不知道为什么
请大家帮我看看
软件下载连接
http://www1.51ok.com/down.do?6A307FC2D8B7A51F762A3D76AE39C4C2
本软件需要有.net 支持 没有安装.net的请下
http://www1.51ok.com/down.do?6A307FC2D8B7A51F38A2950C5E34FE50
013C261A 55 push ebp
013C261B 89E5 mov ebp,esp
013C261D 51 push ecx
013C261E 52 push edx
013C261F 64:8B1D 480E0000 mov ebx,dword ptr fs:[E48]
013C2626 8B7B 0C mov edi,dword ptr ds:[ebx+C]
013C2629 897E 04 mov dword ptr ds:[esi+4],edi
013C262C 8973 0C mov dword ptr ds:[ebx+C],esi
013C262F 68 00000000 push 0
013C2634 68 721ECA44 push 44CA1E72
013C2639 FF76 E4 push dword ptr ds:[esi-1C]
013C263C FF76 14 push dword ptr ds:[esi+14]
013C263F C643 08 00 mov byte ptr ds:[ebx+8],0
013C2643 F643 04 5F test byte ptr ds:[ebx+4],5F
013C2647 75 34 jnz short 013C267D //改这里无效?
013C2649 8B46 08 mov eax,dword ptr ds:[esi+8]
013C264C 8B40 1C mov eax,dword ptr ds:[eax+1C]
013C264F FF10 call dword ptr ds:[eax] //跟到关键CALL这里 nop掉这里也无效?
013C2651 C643 08 01 mov byte ptr ds:[ebx+8],1
013C2655 833D F017387A 00 cmp dword ptr ds:[7A3817F0],0 //这里标志位也不行?
013C265C 75 26 jnz short 013C2684
013C265E 33C9 xor ecx,ecx
013C2660 85C0 test eax,eax
013C2662 0F95C1 setne cl
013C2665 8BC1 mov eax,ecx
013C2667 8D65 F8 lea esp,dword ptr ss:[ebp-8]
013C266A 897B 0C mov dword ptr ds:[ebx+C],edi
013C266D 89EC mov esp,ebp
013C266F 5D pop ebp
013C2670 83C4 04 add esp,4
013C2673 5F pop edi
013C2674 5E pop esi
013C2675 5B pop ebx
013C2676 5D pop ebp
013C2677 83C4 0C add esp,0C
013C267A C2 0800 retn 8
013C267D E8 3C3BBD78 call mscorwks.79F961BE
013C2682 ^ EB C5 jmp short 013C2649
013C2684 E8 563BBD78 call mscorwks.79F961DF
013C2689 ^ EB D3 jmp short 013C265E
既然去不掉 就算了
后来找到了对比。。
机器玛和真玛的对比
可惜 机器玛是随机的?
一关闭一运行又是一个?这样的软件如何搞?
运行后提示输入注册玛.
但是点“确定”无任何错误.
想把NaG去处
下断 bp ShowWindow后断下
返回了想改 关键的把NAG去掉
可惜改了3个小时NAG还是有
不知道为什么
请大家帮我看看
软件下载连接
http://www1.51ok.com/down.do?6A307FC2D8B7A51F762A3D76AE39C4C2
本软件需要有.net 支持 没有安装.net的请下
http://www1.51ok.com/down.do?6A307FC2D8B7A51F38A2950C5E34FE50
013C261A 55 push ebp
013C261B 89E5 mov ebp,esp
013C261D 51 push ecx
013C261E 52 push edx
013C261F 64:8B1D 480E0000 mov ebx,dword ptr fs:[E48]
013C2626 8B7B 0C mov edi,dword ptr ds:[ebx+C]
013C2629 897E 04 mov dword ptr ds:[esi+4],edi
013C262C 8973 0C mov dword ptr ds:[ebx+C],esi
013C262F 68 00000000 push 0
013C2634 68 721ECA44 push 44CA1E72
013C2639 FF76 E4 push dword ptr ds:[esi-1C]
013C263C FF76 14 push dword ptr ds:[esi+14]
013C263F C643 08 00 mov byte ptr ds:[ebx+8],0
013C2643 F643 04 5F test byte ptr ds:[ebx+4],5F
013C2647 75 34 jnz short 013C267D //改这里无效?
013C2649 8B46 08 mov eax,dword ptr ds:[esi+8]
013C264C 8B40 1C mov eax,dword ptr ds:[eax+1C]
013C264F FF10 call dword ptr ds:[eax] //跟到关键CALL这里 nop掉这里也无效?
013C2651 C643 08 01 mov byte ptr ds:[ebx+8],1
013C2655 833D F017387A 00 cmp dword ptr ds:[7A3817F0],0 //这里标志位也不行?
013C265C 75 26 jnz short 013C2684
013C265E 33C9 xor ecx,ecx
013C2660 85C0 test eax,eax
013C2662 0F95C1 setne cl
013C2665 8BC1 mov eax,ecx
013C2667 8D65 F8 lea esp,dword ptr ss:[ebp-8]
013C266A 897B 0C mov dword ptr ds:[ebx+C],edi
013C266D 89EC mov esp,ebp
013C266F 5D pop ebp
013C2670 83C4 04 add esp,4
013C2673 5F pop edi
013C2674 5E pop esi
013C2675 5B pop ebx
013C2676 5D pop ebp
013C2677 83C4 0C add esp,0C
013C267A C2 0800 retn 8
013C267D E8 3C3BBD78 call mscorwks.79F961BE
013C2682 ^ EB C5 jmp short 013C2649
013C2684 E8 563BBD78 call mscorwks.79F961DF
013C2689 ^ EB D3 jmp short 013C265E
既然去不掉 就算了
后来找到了对比。。
机器玛和真玛的对比
可惜 机器玛是随机的?
一关闭一运行又是一个?这样的软件如何搞?
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
 怎么没人回贴。。
|
|
|
|
|
|
没办法太菜 有10万个为什么。。
 没看见我叫 疯狂菜鸟么 哈哈 |
|
|
|
|
|
。。请不要发跟贴无关的内容 谢谢你们了。。有灌水区
|
|
|
|
|
|
|
