ASPR 1.23RC4 Pre-dip 的疑问(高手帮忙)-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

ASPR 1.23RC4 Pre-dip 的疑问(高手帮忙)

发表于: 2004-11-11 14:31 4790

ASPR 1.23RC4 Pre-dip 的疑问(高手帮忙)

FlyingSnow 活跃值

2004-11-11 14:31

4790

我脱了这个软件(all to mp3 converter 1.5)的壳,也按照常规在第二次看见硬盘指纹的时候下了内存断点,但是断下来的东西居然是这样的:

00422EA6 55             push ebp
00422EA7 8BEC          mov ebp,esp
00422EA9 6A FF          push -1
00422EAB 68 D6274A00    push MP3Conve.004A27D6
00422EB0 64:A1 00000000  mov eax,dword ptr fs:[0]
00422EB6 50             push eax
00422EB7 64:8925 0000000>mov dword ptr fs:[0],esp
00422EBE 83EC 28       sub esp,28
00422EC1 51             push ecx
00422EC2 8BCC          mov ecx,esp
00422EC4 8965 F0       mov dword ptr ss:[ebp-10],esp
00422EC7 68 68484D00    push MP3Conve.004D4868                ; ASCII "GetRegistrationInformation"
00422ECC E8 B33C0300    call MP3Conve.00456B84                ; jmp to mfc42.#537
00422ED1 8945 E0       mov dword ptr ss:[ebp-20],eax
00422ED4 8B45 E0       mov eax,dword ptr ss:[ebp-20]
00422ED7 8945 DC       mov dword ptr ss:[ebp-24],eax
00422EDA C745 FC 0000000>mov dword ptr ss:[ebp-4],0
00422EE1 51             push ecx
00422EE2 8BCC          mov ecx,esp
00422EE4 8965 EC       mov dword ptr ss:[ebp-14],esp
00422EE7 68 84484D00    push MP3Conve.004D4884                ; ASCII "MP3Converter"
00422EEC E8 933C0300    call MP3Conve.00456B84                ; jmp to mfc42.#537
00422EF1 8945 D8       mov dword ptr ss:[ebp-28],eax
00422EF4 B9 60904F00    mov ecx,MP3Conve.004F9060
00422EF9 C745 FC FFFFFFF>mov dword ptr ss:[ebp-4],-1
00422F00 E8 B890FFFF    call MP3Conve.0041BFBD
00422F05 8B4D 08       mov ecx,dword ptr ss:[ebp+8]
00422F08 890D E83D4F00 mov dword ptr ds:[4F3DE8],ecx
00422F0E 6A 00          push 0
00422F10 51             push ecx
00422F11 8BCC          mov ecx,esp
00422F13 8965 E8       mov dword ptr ss:[ebp-18],esp
00422F16 68 94484D00    push MP3Conve.004D4894                ; ASCII "GetRegistrationInformation"
00422F1B E8 643C0300    call MP3Conve.00456B84                ; jmp to mfc42.#537
00422F20 8945 D4       mov dword ptr ss:[ebp-2C],eax
00422F23 8B55 D4       mov edx,dword ptr ss:[ebp-2C]
00422F26 8955 D0       mov dword ptr ss:[ebp-30],edx
00422F29 C745 FC 0100000>mov dword ptr ss:[ebp-4],1
00422F30 51             push ecx
00422F31 8BCC          mov ecx,esp
00422F33 8965 E4       mov dword ptr ss:[ebp-1C],esp
00422F36 68 B0484D00    push MP3Conve.004D48B0                ; ASCII "MP3Converter"
00422F3B E8 443C0300    call MP3Conve.00456B84                ; jmp to mfc42.#537
00422F40 8945 CC       mov dword ptr ss:[ebp-34],eax
00422F43 B9 60904F00    mov ecx,MP3Conve.004F9060
00422F48 C745 FC FFFFFFF>mov dword ptr ss:[ebp-4],-1
00422F4F E8 CA92FFFF    call MP3Conve.0041C21E
00422F54 8B4D F4       mov ecx,dword ptr ss:[ebp-C]
00422F57 64:890D 0000000>mov dword ptr fs:[0],ecx
00422F5E 8BE5          mov esp,ebp
00422F60 5D             pop ebp
00422F61 C2 0400       retn 4
00422F64 55             push ebp
00422F65 8BEC          mov ebp,esp
00422F67 6A FF          push -1
00422F69 68 F2274A00    push MP3Conve.004A27F2
00422F6E 64:A1 00000000  mov eax,dword ptr fs:[0]
00422F74 50             push eax
00422F75 64:8925 0000000>mov dword ptr fs:[0],esp
00422F7C 83EC 28       sub esp,28
00422F7F 51             push ecx
00422F80 8BCC          mov ecx,esp
00422F82 8965 F0       mov dword ptr ss:[ebp-10],esp
00422F85 68 C0484D00    push MP3Conve.004D48C0                ; ASCII "GetTrialDays"
00422F8A E8 F53B0300    call MP3Conve.00456B84                ; jmp to mfc42.#537
00422F8F 8945 E0       mov dword ptr ss:[ebp-20],eax
00422F92 8B45 E0       mov eax,dword ptr ss:[ebp-20]
00422F95 8945 DC       mov dword ptr ss:[ebp-24],eax
00422F98 C745 FC 0000000>mov dword ptr ss:[ebp-4],0
00422F9F 51             push ecx
00422FA0 8BCC          mov ecx,esp
00422FA2 8965 EC       mov dword ptr ss:[ebp-14],esp
00422FA5 68 D0484D00    push MP3Conve.004D48D0                ; ASCII "MP3Converter"
00422FAA E8 D53B0300    call MP3Conve.00456B84                ; jmp to mfc42.#537
00422FAF 8945 D8       mov dword ptr ss:[ebp-28],eax
00422FB2 B9 60904F00    mov ecx,MP3Conve.004F9060
00422FB7 C745 FC FFFFFFF>mov dword ptr ss:[ebp-4],-1
00422FBE E8 FA8FFFFF    call MP3Conve.0041BFBD
00422FC3 8B4D 08       mov ecx,dword ptr ss:[ebp+8]
00422FC6 890D E43D4F00 mov dword ptr ds:[4F3DE4],ecx
00422FCC 8B55 0C       mov edx,dword ptr ss:[ebp+C]
00422FCF 8915 E03D4F00 mov dword ptr ds:[4F3DE0],edx
00422FD5 6A 00          push 0
00422FD7 51             push ecx
00422FD8 8BCC          mov ecx,esp
00422FDA 8965 E8       mov dword ptr ss:[ebp-18],esp
00422FDD 68 E0484D00    push MP3Conve.004D48E0                ; ASCII "GetTrialDays"
00422FE2 E8 9D3B0300    call MP3Conve.00456B84                ; jmp to mfc42.#537
00422FE7 8945 D4       mov dword ptr ss:[ebp-2C],eax
00422FEA 8B45 D4       mov eax,dword ptr ss:[ebp-2C]
00422FED 8945 D0       mov dword ptr ss:[ebp-30],eax
00422FF0 C745 FC 0100000>mov dword ptr ss:[ebp-4],1
00422FF7 51             push ecx
00422FF8 8BCC          mov ecx,esp
00422FFA 8965 E4       mov dword ptr ss:[ebp-1C],esp
00422FFD 68 F0484D00    push MP3Conve.004D48F0                ; ASCII "MP3Converter"
00423002 E8 7D3B0300    call MP3Conve.00456B84                ; jmp to mfc42.#537
00423007 8945 CC       mov dword ptr ss:[ebp-34],eax
0042300A B9 60904F00    mov ecx,MP3Conve.004F9060
0042300F C745 FC FFFFFFF>mov dword ptr ss:[ebp-4],-1
00423016 E8 0392FFFF    call MP3Conve.0041C21E
0042301B 8B4D F4       mov ecx,dword ptr ss:[ebp-C]
0042301E 64:890D 0000000>mov dword ptr fs:[0],ecx
00423025 8BE5          mov esp,ebp
00423027 5D             pop ebp
00423028 C2 0800       retn 8

哪位高手帮我看看那里才是注册名啊!!

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・1

支持

最新回复 (8)
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 2 楼 PS:我找到了使用时间的限制,是在4F3DE4和4F3DE0,但是找不到注册名,还有时间改为FFFFFFFF也不行,直接就过期了. 2004-11-11 14:33 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼有些东东使用的是自己的注册算法 2004-11-11 14:44 0
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 4 楼最初由 FlyingSnow 发布 00422F08 890D E83D4F00 mov dword ptr ds:[4F3DE8],ecx 这一句不就是吗？ 2004-11-11 14:50 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 5 楼可是我试过了,时间填入FFFFFFFF,把4f3DE8改称我的地址,结果是->过期! 2004-11-11 15:15 0
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 6 楼不改它的时间就不会过期了。 2004-11-11 15:17 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 7 楼时间的确是不会过期了,但是每次使用还是会弹出NAG的,而且显示的是未注册. 2004-11-11 15:39 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 8 楼我基本搞定了,我找到了他的NAG和其他注册窗口的加密点爆破了.现在只有5个文件的限制解不开了. 2004-11-11 17:08 0
stephenteh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	stephenteh 9 楼 some part of the program code is encrypted....without a valid key the encrypted part will not decrypt....except someone share his valid key with u then u can get the decrypted part and fixed ur dump.... 2004-11-12 01:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

FlyingSnow

发帖

209

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 2 楼 PS:我找到了使用时间的限制,是在4F3DE4和4F3DE0,但是找不到注册名,还有时间改为FFFFFFFF也不行,直接就过期了. 2004-11-11 14:33 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼有些东东使用的是自己的注册算法 2004-11-11 14:44 0
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 4 楼最初由 FlyingSnow 发布 00422F08 890D E83D4F00 mov dword ptr ds:[4F3DE8],ecx 这一句不就是吗？ 2004-11-11 14:50 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 5 楼可是我试过了,时间填入FFFFFFFF,把4f3DE8改称我的地址,结果是->过期! 2004-11-11 15:15 0
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 6 楼不改它的时间就不会过期了。 2004-11-11 15:17 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 7 楼时间的确是不会过期了,但是每次使用还是会弹出NAG的,而且显示的是未注册. 2004-11-11 15:39 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 8 楼我基本搞定了,我找到了他的NAG和其他注册窗口的加密点爆破了.现在只有5个文件的限制解不开了. 2004-11-11 17:08 0
stephenteh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	stephenteh 9 楼 some part of the program code is encrypted....without a valid key the encrypted part will not decrypt....except someone share his valid key with u then u can get the decrypted part and fixed ur dump.... 2004-11-12 01:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复