[求助]这段注册码程序怎么解读？-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]这段注册码程序怎么解读？ 0.00雪花

发表于: 2008-2-2 20:53 3584

[旧帖] [求助]这段注册码程序怎么解读？ 0.00雪花

jinhuiqing 活跃值

活跃值

2008-2-2 20:53

3584

小弟近日把一个小软件的壳给扒掉了，但是注册那块遇到了小问题，看不太懂，小弟的数学。。。有待提高，这段程序应该就是注册码的程序，望高手解答，最好能给出注册机，谢谢！
00402FDE >/$  55          push ebp
00402FDF  |.  8BEC       mov    ebp, esp
00402FE1  |.  6A FF       push -1
00402FE3  |.  68 889B4100 push 00419B88
00402FE8  |.  68 30674000 push 00406730                      ;  SE 处理程序安装
00402FED  |.  64:A1 0000000>mov    eax, dword ptr fs:[0]
00402FF3  |.  50          push eax
00402FF4  |.  64:8925 00000>mov    dword ptr fs:[0], esp
00402FFB  |.  83EC 58    sub    esp, 58
00402FFE  |.  53          push ebx
00402FFF  |.  56          push esi
00403000  |.  57          push edi
00403001  |.  8965 E8    mov    dword ptr [ebp-18], esp
00403004  |.  FF15 04824100 call dword ptr [<&KERNEL32.GetVersion>;  kernel32.GetVersion
0040300A  |.  33D2       xor    edx, edx
0040300C  |.  8AD4       mov    dl, ah
0040300E  |.  8915 14384200 mov    dword ptr [423814], edx
00403014  |.  8BC8       mov    ecx, eax
00403016  |.  81E1 FF000000 and    ecx, 0FF
0040301C  |.  890D 10384200 mov    dword ptr [423810], ecx
00403022  |.  C1E1 08    shl    ecx, 8
00403025  |.  03CA       add    ecx, edx
00403027  |.  890D 0C384200 mov    dword ptr [42380C], ecx
0040302D  |.  C1E8 10    shr    eax, 10
00403030  |.  A3 08384200 mov    dword ptr [423808], eax
00403035  |.  6A 01       push 1
00403037  |.  E8 8E360000 call 004066CA
0040303C  |.  59          pop    ecx
0040303D  |.  85C0       test eax, eax
0040303F  |.  75 08       jnz    short 00403049
00403041  |.  6A 1C       push 1C
00403043  |.  E8 C3000000 call 0040310B
00403048  |.  59          pop    ecx
00403049  |>  E8 BE2B0000 call 00405C0C
0040304E  |.  85C0       test eax, eax
00403050  |.  75 08       jnz    short 0040305A
00403052  |.  6A 10       push 10
00403054  |.  E8 B2000000 call 0040310B
00403059  |.  59          pop    ecx
0040305A  |>  33F6       xor    esi, esi
0040305C  |.  8975 FC    mov    dword ptr [ebp-4], esi
0040305F  |.  E8 35330000 call 00406399
00403064  |.  FF15 B4804100 call dword ptr [<&KERNEL32.GetCommand>; [GetCommandLineA
0040306A  |.  A3 384F4200 mov    dword ptr [424F38], eax
0040306F  |.  E8 F3310000 call 00406267
00403074  |.  A3 F8374200 mov    dword ptr [4237F8], eax
00403079  |.  E8 9C2F0000 call 0040601A
0040307E  |.  E8 DE2E0000 call 00405F61
00403083  |.  E8 36010000 call 004031BE
00403088  |.  8975 D0    mov    dword ptr [ebp-30], esi
0040308B  |.  8D45 A4    lea    eax, dword ptr [ebp-5C]
0040308E  |.  50          push eax                            ; /pStartupinfo
0040308F  |.  FF15 B0804100 call dword ptr [<&KERNEL32.GetStartup>; \GetStartupInfoA
00403095  |.  E8 6F2E0000 call 00405F09
0040309A  |.  8945 9C    mov    dword ptr [ebp-64], eax
0040309D  |.  F645 D0 01 test byte ptr [ebp-30], 1
004030A1  |.  74 06       je    short 004030A9
004030A3  |.  0FB745 D4    movzx eax, word ptr [ebp-2C]
004030A7  |.  EB 03       jmp    short 004030AC
004030A9  |>  6A 0A       push 0A
004030AB  |.  58          pop    eax
004030AC  |>  50          push eax
004030AD  |.  FF75 9C    push dword ptr [ebp-64]
004030B0  |.  56          push esi
004030B1  |.  56          push esi                            ; /pModule
004030B2  |.  FF15 1C824100 call dword ptr [<&KERNEL32.GetModuleH>; \GetModuleHandleA
004030B8  |.  50          push eax
004030B9  |.  E8 FC950000 call 0040C6BA
004030BE  |.  8945 A0    mov    dword ptr [ebp-60], eax
004030C1  |.  50          push eax
004030C2  |.  E8 24010000 call 004031EB
004030C7  |.  8B45 EC    mov    eax, dword ptr [ebp-14]
004030CA  |.  8B08       mov    ecx, dword ptr [eax]
004030CC  |.  8B09       mov    ecx, dword ptr [ecx]
004030CE  |.  894D 98    mov    dword ptr [ebp-68], ecx
004030D1  |.  50          push eax
004030D2  |.  51          push ecx
004030D3  |.  E8 B92C0000 call 00405D91
004030D8  |.  59          pop    ecx
004030D9  |.  59          pop    ecx
004030DA  \.  C3          retn

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・0

免费・0

支持

分享

最新回复 (4)
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 2 楼看不明白。不像是关键部分，倒像是VC入口。 2008-2-2 21:00 0
riusksk 雪币： 433 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 251 关注私信	riusksk 41 3 楼不是计算部分，是个入口，就像WIN32汇编中的.start，获取模块句柄函数经常在此出现 2008-2-2 21:29 0
jinhuiqing 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 35 粉丝 0 关注私信	jinhuiqing 4 楼倒，那我再找找，谢谢你们的帮忙！ 2008-2-2 21:59 0
KJKJKJ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 10 粉丝 0 关注私信	KJKJKJ 5 楼不知道啊，顶了 2008-2-2 22:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

jinhuiqing

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//