[求助]关于追USBKiller的注册码以及写内存注册机的问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]关于追USBKiller的注册码以及写内存注册机的问题

发表于: 2007-10-14 23:56 17413

[求助]关于追USBKiller的注册码以及写内存注册机的问题

风过果落

2007-10-14 23:56

17413

软件下载地址
http://www.easysofts.com.cn/

下载查壳：UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo

很简单  ESp定律一下就脱了，但是不能运行，OK，修复之后就好了！

然后OD载入脱壳并修复好的程序

右键 Ultra String Reference 然后  Find ASCII  ：未注册  双击到地址

004E20D8  /$  55          push ebp 这里下断，然后F8单步
004E20D9  |.  8BEC       mov    ebp, esp
004E20DB  |.  33C9       xor    ecx, ecx
004E20DD  |.  51          push ecx
004E20DE  |.  51          push ecx
004E20DF  |.  51          push ecx
004E20E0  |.  51          push ecx
004E20E1  |.  51          push ecx
004E20E2  |.  51          push ecx
004E20E3  |.  53          push ebx
004E20E4  |.  56          push esi
004E20E5  |.  57          push edi
004E20E6  |.  8BD8       mov    ebx, eax
004E20E8  |.  33C0       xor    eax, eax
004E20EA  |.  55          push ebp
004E20EB  |.  68 0C224E00 push 004E220C
004E20F0  |.  64:FF30    push dword ptr fs:[eax]
004E20F3  |.  64:8920    mov    dword ptr fs:[eax], esp
004E20F6  |.  B2 01       mov    dl, 1
004E20F8  |.  A1 54E84D00 mov    eax, dword ptr [4DE854]
004E20FD  |.  E8 A6C7FFFF call 004DE8A8
004E2102  |.  8BF0       mov    esi, eax
004E2104  |.  8D55 F4    lea    edx, dword ptr [ebp-C]
004E2107  |.  8BC6       mov    eax, esi
004E2109  |.  E8 62CBFFFF call 004DEC70
004E210E  |.  8B55 F4    mov    edx, dword ptr [ebp-C]

这里，机器码已经显示出来
堆栈 ss:[0012FDF4]=00A4DE7C, (ASCII "C3C3A818D95262")
edx=004E75CC (USBKille.004E75CC)

但是这样下去却怎么也追不到注册码

请各位大大帮忙

最好能写篇分析出来

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#加密算法

收藏・2

免费・0

支持

最新回复 (13)
wopasi 雪币： 184 活跃值： (47) 能力值： ( LV4，RANK：50 ) 在线值：发帖 40 回帖 229 粉丝 0 关注私信	wopasi 1 2 楼善意的提醒下,请不要讨论国产软件,这个软件的算法是RIJNDAEL+crc具体的位置我没找.不过你还是修改下你的主题因为坛主今天刚说的不与讨论国产软件注册码已经追到是明码的自己追下看有什么问题欢迎找我探讨 421051646 2007-10-15 22:48 0
风过果落雪币： 56 活跃值： (242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 87 粉丝 0 关注私信	风过果落 3 楼我是为了学习才这样的国外软件比较难所以拿国产软件试手，结果还是不行主题如何修改？我修改不了，我也看到了摊主的话，但是不能修改主题啊 2007-10-16 00:26 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 4 楼 ==================== USBKiller 2.2 正式版 Build01009 发布 1.对主程序优化减少其体积 2.改进自动更新程序 3.添加发现病毒时仅清除病毒选项 4.完整查杀auto.exe变种，AV终结者变种，msn，Recycled，IO.pif等病毒 ====================== 神啊，敢情连做这种小玩意也能卖钱啊。思想跟不上潮流了 2007-10-16 08:03 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 5 楼 mov eax, dword ptr [4D4870] mov eax, dword ptr [eax] cmp byte ptr [eax+4A9], 0 2007-10-16 08:43 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 6 楼以后提问那不都是“某软件”？这样的话讨论、研究、解答都不方便，论坛上讨论的质量会因此大打折扣。。。 2007-10-16 09:23 0
godisagirl 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 0 关注私信	godisagirl 7 楼破解有风险，入行须慎重 2007-10-16 09:32 0
hjzhjz 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	hjzhjz 8 楼 004CD008 8BD8 MOV EBX,EAX 004CD00A 33C0 XOR EAX,EAX 004CD00C 55 PUSH EBP 004CD00D 68 5CD04C00 PUSH USBKille.004CD05C 004CD012 64:FF30 PUSH DWORD PTR FS:[EAX] 004CD015 64:8920 MOV DWORD PTR FS:[EAX],ESP 004CD018 8D55 FC LEA EDX,DWORD PTR SS:[EBP-4] 004CD01B 8BC3 MOV EAX,EBX 004CD01D E8 0E030000 CALL USBKille.004CD330 004CD022 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 004CD025 50 PUSH EAX 004CD026 8D55 F8 LEA EDX,DWORD PTR SS:[EBP-8] 004CD029 8BC3 MOV EAX,EBX 004CD02B E8 3C000000 CALL USBKille.004CD06C 004CD030 8B55 F8 MOV EDX,DWORD PTR SS:[EBP-8] 2007-10-16 16:58 0
风过果落雪币： 56 活跃值： (242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 87 粉丝 0 关注私信	风过果落 9 楼请问，您是如何找到这里的？ 2007-10-16 18:06 0
wopasi 雪币： 184 活跃值： (47) 能力值： ( LV4，RANK：50 ) 在线值：发帖 40 回帖 229 粉丝 0 关注私信	wopasi 1 10 楼关键call按住 f7跟进着你不是不知道把我倒 2007-10-18 15:56 0
yyjpcx 雪币： 239 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 133 粉丝 1 关注私信	yyjpcx 11 楼 [QUOTE=aki;371347]mov eax, dword ptr [4D4870] mov eax, dword ptr [eax] cmp byte ptr [eax+4A9], 0[/QUOTE] 这个有用？试了下无效 2007-10-19 14:35 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 12 楼跟一下可以看到明文注册码的。 2007-10-20 20:41 0
tplin 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 42 粉丝 0 关注私信	tplin 13 楼路过。。。。。。。 2007-12-8 20:23 0
china 雪币： 3689 活跃值： (4247) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1985 粉丝 9 关注私信	china 5 14 楼软件注册算法很简单的.没用什么什么算法,只是简单的对字符HEX进行+2 4 6 8后对新字符进行判断,取0-9 A-Z字符，其他的省略. 网络版要去网络服务器验证,没仔细分析验证的具体内容，把网络检测PATCH掉了. [QUOTE=风过果落;370918] C3C3A818D95262 [/QUOTE] 一楼对应的注册码是: E7IKDHVMKJPN 上传的附件： keygen.jpg （70.99kb，98次下载） 2007-12-9 03:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

风过果落

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
wopasi 雪币： 184 活跃值： (47) 能力值： ( LV4，RANK：50 ) 在线值：发帖 40 回帖 229 粉丝 0 关注私信	wopasi 1 2 楼善意的提醒下,请不要讨论国产软件,这个软件的算法是RIJNDAEL+crc具体的位置我没找.不过你还是修改下你的主题因为坛主今天刚说的不与讨论国产软件注册码已经追到是明码的自己追下看有什么问题欢迎找我探讨 421051646 2007-10-15 22:48 0
风过果落雪币： 56 活跃值： (242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 87 粉丝 0 关注私信	风过果落 3 楼我是为了学习才这样的国外软件比较难所以拿国产软件试手，结果还是不行主题如何修改？我修改不了，我也看到了摊主的话，但是不能修改主题啊 2007-10-16 00:26 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 4 楼 ==================== USBKiller 2.2 正式版 Build01009 发布 1.对主程序优化减少其体积 2.改进自动更新程序 3.添加发现病毒时仅清除病毒选项 4.完整查杀auto.exe变种，AV终结者变种，msn，Recycled，IO.pif等病毒 ====================== 神啊，敢情连做这种小玩意也能卖钱啊。思想跟不上潮流了 2007-10-16 08:03 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 5 楼 mov eax, dword ptr [4D4870] mov eax, dword ptr [eax] cmp byte ptr [eax+4A9], 0 2007-10-16 08:43 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 6 楼以后提问那不都是“某软件”？这样的话讨论、研究、解答都不方便，论坛上讨论的质量会因此大打折扣。。。 2007-10-16 09:23 0
godisagirl 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 0 关注私信	godisagirl 7 楼破解有风险，入行须慎重 2007-10-16 09:32 0
hjzhjz 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	hjzhjz 8 楼 004CD008 8BD8 MOV EBX,EAX 004CD00A 33C0 XOR EAX,EAX 004CD00C 55 PUSH EBP 004CD00D 68 5CD04C00 PUSH USBKille.004CD05C 004CD012 64:FF30 PUSH DWORD PTR FS:[EAX] 004CD015 64:8920 MOV DWORD PTR FS:[EAX],ESP 004CD018 8D55 FC LEA EDX,DWORD PTR SS:[EBP-4] 004CD01B 8BC3 MOV EAX,EBX 004CD01D E8 0E030000 CALL USBKille.004CD330 004CD022 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 004CD025 50 PUSH EAX 004CD026 8D55 F8 LEA EDX,DWORD PTR SS:[EBP-8] 004CD029 8BC3 MOV EAX,EBX 004CD02B E8 3C000000 CALL USBKille.004CD06C 004CD030 8B55 F8 MOV EDX,DWORD PTR SS:[EBP-8] 2007-10-16 16:58 0
风过果落雪币： 56 活跃值： (242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 87 粉丝 0 关注私信	风过果落 9 楼请问，您是如何找到这里的？ 2007-10-16 18:06 0
wopasi 雪币： 184 活跃值： (47) 能力值： ( LV4，RANK：50 ) 在线值：发帖 40 回帖 229 粉丝 0 关注私信	wopasi 1 10 楼关键call按住 f7跟进着你不是不知道把我倒 2007-10-18 15:56 0
yyjpcx 雪币： 239 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 133 粉丝 1 关注私信	yyjpcx 11 楼 [QUOTE=aki;371347]mov eax, dword ptr [4D4870] mov eax, dword ptr [eax] cmp byte ptr [eax+4A9], 0[/QUOTE] 这个有用？试了下无效 2007-10-19 14:35 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 12 楼跟一下可以看到明文注册码的。 2007-10-20 20:41 0
tplin 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 42 粉丝 0 关注私信	tplin 13 楼路过。。。。。。。 2007-12-8 20:23 0
china 雪币： 3689 活跃值： (4247) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1985 粉丝 9 关注私信	china 5 14 楼软件注册算法很简单的.没用什么什么算法,只是简单的对字符HEX进行+2 4 6 8后对新字符进行判断,取0-9 A-Z字符，其他的省略. 网络版要去网络服务器验证,没仔细分析验证的具体内容，把网络检测PATCH掉了. [QUOTE=风过果落;370918] C3C3A818D95262 [/QUOTE] 一楼对应的注册码是: E7IKDHVMKJPN 上传的附件： keygen.jpg （70.99kb，98次下载） 2007-12-9 03:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复