首页
社区
课程
招聘
[旧帖] [原创][原创]DynAdvance Notifier邮件提示的破解汉化 0.00雪花
发表于: 2008-5-9 22:57 2780

[旧帖] [原创][原创]DynAdvance Notifier邮件提示的破解汉化 0.00雪花

2008-5-9 22:57
2780
DynAdvance Notifier邮件提示的汉化破解
使用peid查看后MailNotifier.Exe,未加壳。
直接OD载入MailNotifier.Exe后,
查找当前模块中的名称,发现有
 
 
0040A038   .rdata     输入    (    ADVAPI32.RegCloseKey
0040A03C   .rdata     输入    (    ADVAPI32.RegCreateKeyExA
0040A000   .rdata     输入    (    ADVAPI32.RegDeleteKeyA
0040A010   .rdata     输入    (    ADVAPI32.RegDeleteValueA
0040A048   .rdata     输入    (    ADVAPI32.RegEnumKeyExA
0040A030   .rdata     输入    (    ADVAPI32.RegOpenKeyExA
0040A034   .rdata     输入    (    ADVAPI32.RegQueryValueA
0040A044   .rdata     输入    (    ADVAPI32.RegQueryValueExA
0040A040   .rdata     输入    (    ADVAPI32.RegSetValueExA

在每一个RegOpenKeyExA参考上设置断点。
F9运行,停在

00404399  |.  50            push    eax                              ; /pHandle
0040439A  |.  6A 01         push    1                                ; |Access = KEY_QUERY_VALUE
0040439C  |.  33FF          xor     edi, edi                         ; |
0040439E  |.  57            push    edi                              ; |Reserved => 0
0040439F  |.  68 94CB4000   push    0040CB94                         ; |Subkey = "Software\Microsoft\Windows\CurrentVersion\Installer"
004043A4  |.  68 02000080   push    80000002                         ; |hKey = HKEY_LOCAL_MACHINE
004043A9  |.  897D FC       mov     dword ptr [ebp-4], edi           ; |
004043AC  |.  33DB          xor     ebx, ebx                         ; |
004043AE  |.  FF15 30A04000 call    dword ptr [<&ADVAPI32.RegOpenKey>; \RegOpenKeyExA
004043B4  |.  85C0          test    eax, eax                         ;  停在这上面

下面读取key值,并判断是否正确。
004043BB  |.  50            push    eax                              ; /pBufSize
004043BC  |.  8D45 F4       lea     eax, dword ptr [ebp-C]           ; |
004043BF  |.  50            push    eax                              ; |Buffer
004043C0  |.  57            push    edi                              ; |pValueType => NULL
004043C1  |.  57            push    edi                              ; |Reserved => NULL
004043C2  |.  68 84CB4000   push    0040CB84                         ; |ValueName = "InstallerData"
004043C7  |.  FF75 FC       push    dword ptr [ebp-4]                ; |hKey
004043CA  |.  C745 F8 04000>mov     dword ptr [ebp-8], 4             ; |
004043D1  |.  FF15 44A04000 call    dword ptr [<&ADVAPI32.RegQueryVa>; \RegQueryValueExA
004043D7  |.  85C0          test    eax, eax                         ;  判断是否读取到
004043D9  |.  75 10         jnz     short 004043EB
004043DB  |.  837D F8 04    cmp     dword ptr [ebp-8], 4
004043DF  |.  75 0A         jnz     short 004043EB
004043E1  |.  817D F4 DC3A2>cmp     dword ptr [ebp-C], F3213ADC      ;  F3213ADC也就是正确的key值
004043E8  |.  75 01         jnz     short 004043EB
004043EA  |.  43            inc     ebx
004043EB  |>  397D FC       cmp     dword ptr [ebp-4], edi
004043EE  |.  74 09         je      short 004043F9

至此完成破解。
使用PASSOLO载入MailNotifier.Exe,完成汉化。
希望对您有用处。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//