软件注册保存分两个地方 一个是注册表 一个是本地文件
注册表是验证你安装软件的时间到现在使用多长时间
本地文件验证是要你一定要在2007年11月使用
这本地文件验证我下的是 bp ReadFile
能找到那个验证文件在
0012DA58 00000>
0012DA5C 0012D>
0012DA60 0015A>UNICODE "C:\WINDOWS\Registration\R000000000007.clb"
0012DA64 0015C>
0012DA68 7C92E>返回到 ntdll.7C92E5E5
0012DA6C 7C810>返回到 kernel32.7C810C30 来自 ntdll.ZwSetInformationFile
接下来怎么办?能不能给个思路我 我走了很多遍没找到办法
7C80180E > 6A 20 push 20
7C801810 68 A89B807C push 7C809BA8
7C801815 E8 AC0C0000 call 7C8024C6
7C80181A 33DB xor ebx, ebx
7C80181C 8B4D 14 mov ecx, dword ptr [ebp+14]
7C80181F 3BCB cmp ecx, ebx
7C801821 74 02 je short 7C801825
7C801823 8919 mov dword ptr [ecx], ebx
7C801825 64:A1 18000000 mov eax, dword ptr fs:[18]
7C80182B 8B40 30 mov eax, dword ptr [eax+30]
7C80182E 8B7D 08 mov edi, dword ptr [ebp+8]
7C801831 83FF F4 cmp edi, -0C
7C801834 0F84 A8010000 je 7C8019E2
7C80183A 83FF F5 cmp edi, -0B
7C80183D 0F84 94010000 je 7C8019D7
7C801843 83FF F6 cmp edi, -0A
7C801846 74 53 je short 7C80189B
7C801848 8BC7 mov eax, edi
7C80184A 25 03000010 and eax, 10000003
7C80184F 83F8 03 cmp eax, 3
7C801852 74 4F je short 7C8018A3
7C801854 8B75 18 mov esi, dword ptr [ebp+18]
7C801857 3BF3 cmp esi, ebx
7C801859 0F85 FF000000 jnz 7C80195E
断下来以后的代码是这些
[课程]Linux pwn 探索篇!