能力值:
( LV2,RANK:10 )
|
-
-
2 楼
用resscope打开找到空间的处理函数名称,然后再在od里面定位这个函数的入口。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
呵呵,能不能说的详细点,我是菜菜。具体步骤还是不会啊。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
打开后找不到这个按钮。没有好像。
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
在运行中这些按钮和输入框才被解出来。 这怎么办?
|
能力值:
( LV3,RANK:20 )
|
-
-
6 楼
试试DeDe
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
DeDe里找到目标窗体,找到一堆_PROC_??????,记下RVA后,在OD中统统下断,逐个排除试一下。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
resscope中找到on****=procname ,然后od中查找所有的字符串参考,然后找procname,上面有个跳转地址就是了。
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
感谢楼上三位的指点,一一照办,已经找到代码,算法好象是下面的样子。
005036ED 33D2 xor edx,edx
005036EF 8BC6 mov eax,esi
005036F1 8B08 mov ecx,dword ptr ds:[eax]
005036F3 FF91 >call dword ptr ds:[ecx+290]
005036F9 8D86 >lea eax,dword ptr ds:[esi+1A8]
005036FF E8 4C>call hzly.00410850
00503704 8D86 >lea eax,dword ptr ds:[esi+1C4]
0050370A E8 41>call hzly.00410850
0050370F 8D86 >lea eax,dword ptr ds:[esi+1D0]
00503715 E8 36>call hzly.00410850
0050371A 8D86 >lea eax,dword ptr ds:[esi+1CC]
00503720 E8 2B>call hzly.00410850
00503725 8D86 >lea eax,dword ptr ds:[esi+1E0]
0050372B E8 20>call hzly.00410850
00503730 8D86 >lea eax,dword ptr ds:[esi+1D4]
00503736 E8 15>call hzly.00410850
0050373B 8BD3 mov edx,ebx
0050373D 80E2 >and dl,0FC
00503740 8BC6 mov eax,esi
00503742 E8 41>call hzly.004ECD88
00503747 84DB test bl,bl 比较
00503749 7E 07 jle short hzly.00503752 跳走就是未注册版了
call hzly.00410850被反复调用,不知是做什么,是md5吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
应该是rsa算法吧。不是md5。
|
|
|
|
