教菜鸟写注册机――实战篇-软件逆向-看雪-安全社区|安全招聘|kanxue.com

教菜鸟写注册机――实战篇

发表于: 2004-9-8 14:34 20599

教菜鸟写注册机――实战篇

RoBa

2004-9-8 14:34

20599

教菜鸟写注册机――实战篇

呵呵，再灌一篇，等再过两天开学就没得灌喽:D

前面我们折腾了半天都是在跟CRACKME过不去，可能有人觉得没意思了，这次咱们来个有实际意义的，呵呵，一个发布不久的软件――麻将拼图V1.04，这里来下：
http://skycn.softreg.com.cn/product.asp?id=/E5DCF286-05EE-4AA8-8ABE-9524013EFADA
用W32DASM反下，找串式参考“注册失败！”到下面：（分析见后）

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00402E16(C)
|
:00402E3F 8B3D88974000            mov edi, dword ptr [00409788]
:00402E45 B940000000              mov ecx, 00000040
:00402E4A 33C0                    xor eax, eax
:00402E4C 8B6C2414                mov ebp, dword ptr [esp+14]
:00402E50 F3                      repz
:00402E51 AB                      stosd
:00402E52 8B3D7C974000            mov edi, dword ptr [0040977C]
:00402E58 B940000000              mov ecx, 00000040
:00402E5D F3                      repz
:00402E5E AB                      stosd
:00402E5F 8B0D88974000            mov ecx, dword ptr [00409788]

* Reference To: USER32.SendDlgItemMessageA, Ord:020Fh
                                  |
:00402E65 8B1D38714000            mov ebx, dword ptr [00407138]	;注意
:00402E6B 51                      push ecx			;用户名存放地址[409788]
:00402E6C 6A10                    push 00000010
:00402E6E 6A0D                    push 0000000D			;WM_GETTEXT

* Possible Reference to Dialog: DialogID_0070, CONTROL_ID:03E8, ""
                                  |
:00402E70 68E8030000              push 000003E8			;控件ID
:00402E75 55                      push ebp
:00402E76 FFD3                    call ebx			;得到用户名
:00402E78 8B157C974000            mov edx, dword ptr [0040977C]
:00402E7E 52                      push edx			;注册码地址[40977C]
:00402E7F 6A10                    push 00000010		
:00402E81 6A0D                    push 0000000D			;WM_GETTEXT

* Possible Reference to Dialog: DialogID_0070, CONTROL_ID:03E9, ""
                                  |
:00402E83 68E9030000              push 000003E9			;控件ID
:00402E88 55                      push ebp
:00402E89 FFD3                    call ebx			;得到注册码
:00402E8B A188974000              mov eax, dword ptr [00409788]
:00402E90 803800                  cmp byte ptr [eax], 00
:00402E93 0F8438010000            je 00402FD1
:00402E99 8B0D7C974000            mov ecx, dword ptr [0040977C]
:00402E9F 803900                  cmp byte ptr [ecx], 00
:00402EA2 0F8429010000            je 00402FD1
:00402EA8 50                      push eax			;压入用户名
:00402EA9 E822FEFFFF              call 00402CD0			;关键CALL
:00402EAE 8B3D7C974000            mov edi, dword ptr [0040977C]	;假码
:00402EB4 A188974000              mov eax, dword ptr [00409788]	;真码
:00402EB9 83C404                  add esp, 00000004
:00402EBC 8BF7                    mov esi, edi

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00402EDC(C)
|
:00402EBE 8A10                    mov dl, byte ptr [eax]
:00402EC0 8ACA                    mov cl, dl
:00402EC2 3A16                    cmp dl, byte ptr [esi]
:00402EC4 751C                    jne 00402EE2
:00402EC6 84C9                    test cl, cl
:00402EC8 7414                    je 00402EDE
:00402ECA 8A5001                  mov dl, byte ptr [eax+01]
:00402ECD 8ACA                    mov cl, dl
:00402ECF 3A5601                  cmp dl, byte ptr [esi+01]
:00402ED2 750E                    jne 00402EE2
:00402ED4 83C002                  add eax, 00000002
:00402ED7 83C602                  add esi, 00000002
:00402EDA 84C9                    test cl, cl
:00402EDC 75E0                    jne 00402EBE

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00402EC8(C)
|
:00402EDE 33C0                    xor eax, eax
:00402EE0 EB05                    jmp 00402EE7

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:00402EC4(C), :00402ED2(C)
|
:00402EE2 1BC0                    sbb eax, eax
:00402EE4 83D8FF                  sbb eax, FFFFFFFF

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00402EE0(U)
|
:00402EE7 85C0                    test eax, eax
:00402EE9 0F848D000000            je 00402F7C

* Possible StringData Ref from Data Obj ->"52341546"		;骗人的:D
                                  |
:00402EEF BEA4904000              mov esi, 004090A4
:00402EF4 8BC7                    mov eax, edi

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00402F14(C)
|
:00402EF6 8A10                    mov dl, byte ptr [eax]
:00402EF8 8ACA                    mov cl, dl
:00402EFA 3A16                    cmp dl, byte ptr [esi]
:00402EFC 751C                    jne 00402F1A
:00402EFE 84C9                    test cl, cl
:00402F00 7414                    je 00402F16
:00402F02 8A5001                  mov dl, byte ptr [eax+01]
:00402F05 8ACA                    mov cl, dl
:00402F07 3A5601                  cmp dl, byte ptr [esi+01]
:00402F0A 750E                    jne 00402F1A
:00402F0C 83C002                  add eax, 00000002
:00402F0F 83C602                  add esi, 00000002
:00402F12 84C9                    test cl, cl
:00402F14 75E0                    jne 00402EF6

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00402F00(C)
|
:00402F16 33C0                    xor eax, eax
:00402F18 EB05                    jmp 00402F1F

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:00402EFC(C), :00402F0A(C)
|
:00402F1A 1BC0                    sbb eax, eax
:00402F1C 83D8FF                  sbb eax, FFFFFFFF

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00402F18(U)
|
:00402F1F 85C0                    test eax, eax
:00402F21 7459                    je 00402F7C
:00402F23 A180974000              mov eax, dword ptr [00409780]
:00402F28 6A00                    push 00000000
:00402F2A 83F803                  cmp eax, 00000003

* Possible StringData Ref from Data Obj ->"用户注册"
                                  |
:00402F2D 6898904000              push 00409098
:00402F32 7D23                    jge 00402F57

* Possible StringData Ref from Data Obj ->"注册码错误！请重新输入！"
                                  |
:00402F34 687C904000              push 0040907C
:00402F39 55                      push ebp

* Reference To: USER32.MessageBoxA, Ord:01BEh
                                  |
:00402F3A FF1534714000            Call dword ptr [00407134]
:00402F40 A180974000              mov eax, dword ptr [00409780]
:00402F45 5F                      pop edi
:00402F46 40                      inc eax
:00402F47 5E                      pop esi
:00402F48 A380974000              mov dword ptr [00409780], eax
:00402F4D 5D                      pop ebp
:00402F4E B801000000              mov eax, 00000001
:00402F53 5B                      pop ebx
:00402F54 C21000                  ret 0010

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・3

免费・7

支持

最新回复 (11)
qwert123 雪币： 271 活跃值： (90) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 74 粉丝 1 关注私信	qwert123 1 2 楼 ROBA大虾，可不可以用国华软件出的一个软件作为例子？？随便哪个，UNEBOOKEDIT、CHMDECOMPILER或者新出的那个反编译E书工场的UNEBOOKWORKSHOP都可以，赶在你开学前再写个吧--不要求破解结果，只要有过程就好，谢谢了先！！！！:D ASKFORMORE写了一些，但文章里好象还有所保留，比较含蓄，哎，这一含蓄就让我等晕了。BLOWFISH可能太忙，要不然能细分析一下多好。。。。 2004-9-8 15:07 0
springkang[DFCG 雪币： 323 活跃值： (589) 能力值： ( LV12，RANK：450 ) 在线值：发帖 21 回帖 256 粉丝 3 关注私信	springkang[DFCG 11 3 楼好，再顶一下！ 2004-9-8 17:42 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 4 楼最初由 qwert123 发布 ROBA大虾，可不可以用国华软件出的一个软件作为例子。不要用国华的作例子，以前他们作者曾来过信。 2004-9-8 18:02 0
qwert123 雪币： 271 活跃值： (90) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 74 粉丝 1 关注私信	qwert123 1 5 楼对不起，以后不要求了原本以为只探讨一下他的加密思路，不要注册码没问题呢:) 2004-9-8 19:06 0
RoBa 雪币： 519 活跃值： (1223) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 857 粉丝 9 关注私信	RoBa 16 6 楼最初由 qwert123 发布 ROBA大虾，可不可以用国华软件出的一个软件作为例子？？随便哪个，UNEBOOKEDIT、CHMDECOMPILER或者新出的那个反编译E书工场的UNEBOOKWORKSHOP都可以，赶在你开学前再写个吧--不要求破解结果，只要有过程就好，谢谢了先！！！！:D ASKFORMORE写了一些，但文章里好象还有所保留，比较含蓄，哎，这一含蓄就让我等晕了。BLOWFISH可能太忙，要不然能细分析一下多好。。。。保护做得不错，大概跟了下，我的机子已经被超度了N次。ANTI-DEDE，ANTI-DEBUG，我只能说这么多了:p 2004-9-8 21:50 0
游客雪币：能力值： (RANK： ) 在线值：发帖 0 回帖 0 粉丝关注私信	游客 7 楼怎么还没开学啊偶都开学n天了 2004-9-9 10:25 编辑删除 0
uck999 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	uck999 8 楼最后要说的是它还设了个陷阱，后面有一个固定字串"52341546"，输入这个会提示成功注册，但其实下次启动又成未注册了。 UNEBOOKWORKSHOP最近有人放出了注册码，就是老大说的这个问题，难道国画用的也是这招？ ?ㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔ? ㄕ ╃霏凡软件=- ㄕ ?ㄔㄔㄔㄔㄔㄔ┤ http://www.crsky.com ├ㄔㄔㄔㄔㄔㄔ? ㄕㄕ http://www.crsky.net ㄕㄕㄕ ?ㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔ? ㄕ　ㄕㄕ　ㄕㄕ　ㄕ　声明：本程序由霏凡软件搜集整理，不承担技术及版权问题ㄕㄕ说明：要获得更多的程序或最新版本请随时关注霏凡软件ㄕㄕㄕㄕ霏凡软件提供大量的商业软件，破解注册等相关下载ㄕㄕ每日不定时多次更新，全心塑造无忧软件的世外桃源! ㄕ　ㄕㄕㄕ ?───────────────────────? ㄕ ?ㄔㄔ┤ 论坛域名：bbs.crsky.com ├ㄔㄔ? ?───────────────────────? --== unEbookWorkShop v1.42 注册版 ==-- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ unEbookWorkshop是专门用来反编译 ebook Workshop( e书工场 )制作的EXE电子书源文件的工具软件（E书反编译工具），可以迅速地反编译包括在EXE电子书里面的全部源文件，并且完美地恢复源文件的全部目录结构及文件名，以便帮助用户得到源文件进行资料恢复或二次编辑。unEbookWorkshop支持批量操作，您只需指定一个包括EXE电子书的目录，unEbookWorkshop会自动把指定目录下符合条件的文件一次性反编译。注册名：李扬注册码：WS33C037366-6220-FE99A78B =============== 引用: 最初由 qwert123 发布 ROBA大虾，可不可以用国华软件出的一个软件作为例子？？随便哪个，UNEBOOKEDIT、CHMDECOMPILER或者新出的那个反编译E书工场的UNEBOOKWORKSHOP都可以，赶在你开学前再写个吧--不要求破解结果，只要有过程就好，谢谢了先！！！！ ASKFORMORE写了一些，但文章里好象还有所保留，比较含蓄，哎，这一含蓄就让我等晕了。BLOWFISH可能太忙，要不然能细分析一下多好。。。。保护做得不错，大概跟了下，我的机子已经被超度了N次。ANTI-DEDE，ANTI-DEBUG，我只能说这么多了有谁知道unebookedit的所有反跟踪手段？好久没练兵，变的狂菜~~~~~~~~~~~~~~~~~~~~~ 我只知道是UPX的壳，不好脱，脱完了后用CreateFile有自效验，还用FindWindow查找ProcDump,w32Dasm,Trw,WinHex,会不断检测DEDE，如存在则强迫关闭，修改DEDE的窗口标题和文件名均无效，用DEDE反编译，找不到任何窗体、过程信息，查找OllyDBG，用修改版OllyDBG可躲过，运行时不断产生INT3异常和单步异常，某些指令好象步过就会产生无法处理的异常。。。。挺有意思的，有人弄过吗？他的壳是怎么改的？如何不断用INT3和单步异常来反调试的？这个软件太恶心了，只会用黑名单。听说作者停止开发了？这样还好所有黑名单都是以加密方式放在字符串资源里的，这样，咱只要把里面的字符串资源乱改一气就搞定了而且作者好象很痛恨DEDE，循环检测并强行关闭，如果你是先开DEDE或者TRW再开UnebookEdit,他就两次调用ExitWindowsEx强行退出系统，象冲击波病毒似的，而且只要开着winHex，软件就罢工，非常无理霸道，谁要是真花钱注册了肯定得气吐血。 2004-12-1 12:32 0
huxusong 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	huxusong 9 楼 unebookworkshop 这个东东看来没法破解了,有假注册现象,有高手能解决吗? 2004-12-17 15:49 0
panther666 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 87 粉丝 0 关注私信	panther666 10 楼收藏中。。。谢谢啊。 2004-12-18 16:36 0
自学者雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	自学者 11 楼谢谢！正在找unEbookWorkShop的注册码，我去试一下。 2005-4-30 19:02 0
魔度众生雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 0 关注私信	魔度众生 12 楼不错，谢谢分享！ 2005-5-1 14:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

RoBa

发帖

857

回帖

650

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
qwert123 雪币： 271 活跃值： (90) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 74 粉丝 1 关注私信	qwert123 1 2 楼 ROBA大虾，可不可以用国华软件出的一个软件作为例子？？随便哪个，UNEBOOKEDIT、CHMDECOMPILER或者新出的那个反编译E书工场的UNEBOOKWORKSHOP都可以，赶在你开学前再写个吧--不要求破解结果，只要有过程就好，谢谢了先！！！！:D ASKFORMORE写了一些，但文章里好象还有所保留，比较含蓄，哎，这一含蓄就让我等晕了。BLOWFISH可能太忙，要不然能细分析一下多好。。。。 2004-9-8 15:07 0
springkang[DFCG 雪币： 323 活跃值： (589) 能力值： ( LV12，RANK：450 ) 在线值：发帖 21 回帖 256 粉丝 3 关注私信	springkang[DFCG 11 3 楼好，再顶一下！ 2004-9-8 17:42 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 4 楼最初由 qwert123 发布 ROBA大虾，可不可以用国华软件出的一个软件作为例子。不要用国华的作例子，以前他们作者曾来过信。 2004-9-8 18:02 0
qwert123 雪币： 271 活跃值： (90) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 74 粉丝 1 关注私信	qwert123 1 5 楼对不起，以后不要求了原本以为只探讨一下他的加密思路，不要注册码没问题呢:) 2004-9-8 19:06 0
RoBa 雪币： 519 活跃值： (1223) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 857 粉丝 9 关注私信	RoBa 16 6 楼最初由 qwert123 发布 ROBA大虾，可不可以用国华软件出的一个软件作为例子？？随便哪个，UNEBOOKEDIT、CHMDECOMPILER或者新出的那个反编译E书工场的UNEBOOKWORKSHOP都可以，赶在你开学前再写个吧--不要求破解结果，只要有过程就好，谢谢了先！！！！:D ASKFORMORE写了一些，但文章里好象还有所保留，比较含蓄，哎，这一含蓄就让我等晕了。BLOWFISH可能太忙，要不然能细分析一下多好。。。。保护做得不错，大概跟了下，我的机子已经被超度了N次。ANTI-DEDE，ANTI-DEBUG，我只能说这么多了:p 2004-9-8 21:50 0
游客雪币：能力值： (RANK： ) 在线值：发帖 0 回帖 0 粉丝关注私信	游客 7 楼怎么还没开学啊偶都开学n天了 2004-9-9 10:25 编辑删除 0
uck999 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	uck999 8 楼最后要说的是它还设了个陷阱，后面有一个固定字串"52341546"，输入这个会提示成功注册，但其实下次启动又成未注册了。 UNEBOOKWORKSHOP最近有人放出了注册码，就是老大说的这个问题，难道国画用的也是这招？ ?ㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔ? ㄕ ╃霏凡软件=- ㄕ ?ㄔㄔㄔㄔㄔㄔ┤ http://www.crsky.com ├ㄔㄔㄔㄔㄔㄔ? ㄕㄕ http://www.crsky.net ㄕㄕㄕ ?ㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔㄔ? ㄕ　ㄕㄕ　ㄕㄕ　ㄕ　声明：本程序由霏凡软件搜集整理，不承担技术及版权问题ㄕㄕ说明：要获得更多的程序或最新版本请随时关注霏凡软件ㄕㄕㄕㄕ霏凡软件提供大量的商业软件，破解注册等相关下载ㄕㄕ每日不定时多次更新，全心塑造无忧软件的世外桃源! ㄕ　ㄕㄕㄕ ?───────────────────────? ㄕ ?ㄔㄔ┤ 论坛域名：bbs.crsky.com ├ㄔㄔ? ?───────────────────────? --== unEbookWorkShop v1.42 注册版 ==-- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ unEbookWorkshop是专门用来反编译 ebook Workshop( e书工场 )制作的EXE电子书源文件的工具软件（E书反编译工具），可以迅速地反编译包括在EXE电子书里面的全部源文件，并且完美地恢复源文件的全部目录结构及文件名，以便帮助用户得到源文件进行资料恢复或二次编辑。unEbookWorkshop支持批量操作，您只需指定一个包括EXE电子书的目录，unEbookWorkshop会自动把指定目录下符合条件的文件一次性反编译。注册名：李扬注册码：WS33C037366-6220-FE99A78B =============== 引用: 最初由 qwert123 发布 ROBA大虾，可不可以用国华软件出的一个软件作为例子？？随便哪个，UNEBOOKEDIT、CHMDECOMPILER或者新出的那个反编译E书工场的UNEBOOKWORKSHOP都可以，赶在你开学前再写个吧--不要求破解结果，只要有过程就好，谢谢了先！！！！ ASKFORMORE写了一些，但文章里好象还有所保留，比较含蓄，哎，这一含蓄就让我等晕了。BLOWFISH可能太忙，要不然能细分析一下多好。。。。保护做得不错，大概跟了下，我的机子已经被超度了N次。ANTI-DEDE，ANTI-DEBUG，我只能说这么多了有谁知道unebookedit的所有反跟踪手段？好久没练兵，变的狂菜~~~~~~~~~~~~~~~~~~~~~ 我只知道是UPX的壳，不好脱，脱完了后用CreateFile有自效验，还用FindWindow查找ProcDump,w32Dasm,Trw,WinHex,会不断检测DEDE，如存在则强迫关闭，修改DEDE的窗口标题和文件名均无效，用DEDE反编译，找不到任何窗体、过程信息，查找OllyDBG，用修改版OllyDBG可躲过，运行时不断产生INT3异常和单步异常，某些指令好象步过就会产生无法处理的异常。。。。挺有意思的，有人弄过吗？他的壳是怎么改的？如何不断用INT3和单步异常来反调试的？这个软件太恶心了，只会用黑名单。听说作者停止开发了？这样还好所有黑名单都是以加密方式放在字符串资源里的，这样，咱只要把里面的字符串资源乱改一气就搞定了而且作者好象很痛恨DEDE，循环检测并强行关闭，如果你是先开DEDE或者TRW再开UnebookEdit,他就两次调用ExitWindowsEx强行退出系统，象冲击波病毒似的，而且只要开着winHex，软件就罢工，非常无理霸道，谁要是真花钱注册了肯定得气吐血。 2004-12-1 12:32 0
huxusong 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	huxusong 9 楼 unebookworkshop 这个东东看来没法破解了,有假注册现象,有高手能解决吗? 2004-12-17 15:49 0
panther666 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 87 粉丝 0 关注私信	panther666 10 楼收藏中。。。谢谢啊。 2004-12-18 16:36 0
自学者雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	自学者 11 楼谢谢！正在找unEbookWorkShop的注册码，我去试一下。 2005-4-30 19:02 0
魔度众生雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 0 关注私信	魔度众生 12 楼不错，谢谢分享！ 2005-5-1 14:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复