首页
社区
课程
招聘
[旧帖] [求助]新手问题,请兄弟们帮我确认一下思路是否正确! 0.00雪花
发表于: 2008-8-22 09:03 4193

[旧帖] [求助]新手问题,请兄弟们帮我确认一下思路是否正确! 0.00雪花

2008-8-22 09:03
4193
在分析爆破一个Borland Delphi 4.0 - 5.0程序的时候,发现新版本比老版(此软件需要Rock4狗)多了个注册项,似乎需要注册才能正常使用。新版跟老版一样爆掉关键跳后,已经可以正常启动,但总觉得可能会有暗桩,找来找去也没弄明白。

现有两个疑问如下:
1、哪个才是注册关键CALL?

00895E5F  |.  E8 542FB7FF   call    <jmp.&kernel32.LoadLibraryA>     ; \LoadLibraryA
00895E64  |.  8B15 3C2E8E00 mov     edx, dword ptr [8E2E3C]          ;  TSMedPF_.008F11B4
00895E6A  |.  8902          mov     dword ptr [edx], eax
00895E6C  |.  833B 00       cmp     dword ptr [ebx], 0
00895E6F  |.  75 12         jnz     short TSMedPF_.00895E83
00895E71  |.  8BCF          mov     ecx, edi
00895E73  |.  B2 01         mov     dl, 1
00895E75  |.  A1 A8F68B00   mov     eax, dword ptr [8BF6A8]
00895E7A  |.  E8 C1AE0200   call    TSMedPF_.008C0D40
00895E7F  |.  8903          mov     dword ptr [ebx], eax
00895E81  |.  EB 0A         jmp     short TSMedPF_.00895E8D
00895E83  |>  8B03          mov     eax, dword ptr [ebx]
00895E85  |.  8B40 24       mov     eax, dword ptr [eax+24]
00895E88  |.  E8 43A60200   call    TSMedPF_.008C04D0
00895E8D  |>  8B03          mov     eax, dword ptr [ebx]
00895E8F  |.  8B70 24       mov     esi, dword ptr [eax+24]
00895E92  |.  C686 AE040000>mov     byte ptr [esi+4AE], 0
00895E99  |.  C686 AF040000>mov     byte ptr [esi+4AF], 2
00895EA0  |.  C686 B0040000>mov     byte ptr [esi+4B0], 0
00895EA7  |.  8BC6          mov     eax, esi
00895EA9  |.  66:BA 1000    mov     dx, 10
00895EAD  |.  E8 5A9F0200   call    TSMedPF_.008BFE0C
00895EB2  |.  84C0          test    al, al
00895EB4      0F85 CB000000 jnz     TSMedPF_.00895F85      //爆破 时的关键跳 JMP
00895EBA  |.  8B03          mov     eax, dword ptr [ebx]
00895EBC  |.  8B40 24       mov     eax, dword ptr [eax+24]
00895EBF  |.  C680 AE040000>mov     byte ptr [eax+4AE], 1
00895EC6  |.  C680 AF040000>mov     byte ptr [eax+4AF], 1
00895ECD  |.  A1 30318E00   mov     eax, dword ptr [8E3130]
00895ED2  |.  33D2          xor     edx, edx
00895ED4  |.  8910          mov     dword ptr [eax], edx
00895ED6  |.  8B03          mov     eax, dword ptr [ebx]
00895ED8  |.  8B40 24       mov     eax, dword ptr [eax+24]
00895EDB  |.  80B8 AF040000>cmp     byte ptr [eax+4AF], 2
00895EE2  |.  74 3A         je      short TSMedPF_.00895F1E
00895EE4  |.  A1 202C8E00   mov     eax, dword ptr [8E2C20]
00895EE9  |.  8338 00       cmp     dword ptr [eax], 0
00895EEC  |.  76 30         jbe     short TSMedPF_.00895F1E
00895EEE  |.  8D4D F4       lea     ecx, dword ptr [ebp-C]
00895EF1  |.  BA 70638900   mov     edx, TSMedPF_.00896370
00895EF6  |.  B8 84638900   mov     eax, TSMedPF_.00896384           ;  menu
00895EFB  |.  E8 FC9C0200   call    TSMedPF_.008BFBFC
00895F00  |.  8B45 F4       mov     eax, dword ptr [ebp-C]
00895F03  |.  E8 6CE7B6FF   call    TSMedPF_.00404674
00895F08  |.  50            push    eax                              ; /ProcNameOrOrdinal
00895F09  |.  A1 202C8E00   mov     eax, dword ptr [8E2C20]          ; |
00895F0E  |.  8B00          mov     eax, dword ptr [eax]             ; |
00895F10  |.  50            push    eax                              ; |hModule
00895F11  |.  E8 DA2DB7FF   call    <jmp.&kernel32.GetProcAddress>   ; \GetProcAddress
00895F16  |.  8B15 BC318E00 mov     edx, dword ptr [8E31BC]          ;  TSMedPF_.008F11AC
00895F1C  |.  8902          mov     dword ptr [edx], eax
00895F1E  |>  8B03          mov     eax, dword ptr [ebx]
00895F20  |.  8B70 24       mov     esi, dword ptr [eax+24]
00895F23  |.  80BE AF040000>cmp     byte ptr [esi+4AF], 2
00895F2A  |.  74 0F         je      short TSMedPF_.00895F3B
00895F2C  |.  8BC6          mov     eax, esi
00895F2E  |.  66:BA 0900    mov     dx, 9
00895F32  |.  E8 D59E0200   call    TSMedPF_.008BFE0C
00895F37  |.  84C0          test    al, al
00895F39  |.  75 4A         jnz     short TSMedPF_.00895F85
00895F3B  |>  A1 382F8E00   mov     eax, dword ptr [8E2F38]
00895F40  |.  8B00          mov     eax, dword ptr [eax]
00895F42  |.  C640 4B 00    mov     byte ptr [eax+4B], 0
00895F46  |.  8D4D EC       lea     ecx, dword ptr [ebp-14]
00895F49  |.  BA 94638900   mov     edx, TSMedPF_.00896394
00895F4E  |.  B8 B8638900   mov     eax, TSMedPF_.008963B8           ;  frmmain
00895F53  |.  E8 A49C0200   call    TSMedPF_.008BFBFC
00895F58  |.  FF75 EC       push    dword ptr [ebp-14]
00895F5B  |.  68 C8638900   push    TSMedPF_.008963C8                ;  \n
00895F60  |.  8B03          mov     eax, dword ptr [ebx]
00895F62  |.  8B40 24       mov     eax, dword ptr [eax+24]
00895F65  |.  FFB0 C4040000 push    dword ptr [eax+4C4]
00895F6B  |.  8D45 F0       lea     eax, dword ptr [ebp-10]
00895F6E  |.  BA 03000000   mov     edx, 3
00895F73  |.  E8 F8E5B6FF   call    TSMedPF_.00404570
00895F78  |.  8B45 F0       mov     eax, dword ptr [ebp-10]
00895F7B  |.  BA 88130000   mov     edx, 1388
00895F80  |.  E8 CB2AD5FF   call    TSMedPF_.005E8A50
00895F85  |>  8B03          mov     eax, dword ptr [ebx]
00895F87  |.  8B40 24       mov     eax, dword ptr [eax+24]
00895F8A  |.  66:BA 4301    mov     dx, 143
00895F8E  |.  E8 F1A00200   call    TSMedPF_.008C0084
00895F93  |.  84C0          test    al, al
00895F95      0F85 03010000 jnz     TSMedPF_.0089609E      //关键跳
00895F9B  |.  8B03          mov     eax, dword ptr [ebx]
00895F9D  |.  8B40 24       mov     eax, dword ptr [eax+24]
00895FA0  |.  E8 2BA50200   call    TSMedPF_.008C04D0
00895FA5  |.  8B03          mov     eax, dword ptr [ebx]
00895FA7  |.  8B40 24       mov     eax, dword ptr [eax+24]
00895FAA  |.  C680 AF040000>mov     byte ptr [eax+4AF], 1
00895FB1  |.  8A90 AC040000 mov     dl, byte ptr [eax+4AC]
00895FB7  |.  80EA 01       sub     dl, 1
00895FBA  |.  74 07         je      short TSMedPF_.00895FC3
00895FBC  |.  C680 AF040000>mov     byte ptr [eax+4AF], 2
00895FC3  |>  8B03          mov     eax, dword ptr [ebx]
00895FC5  |.  8B40 24       mov     eax, dword ptr [eax+24]
00895FC8  |.  C680 AE040000>mov     byte ptr [eax+4AE], 1
00895FCF  |.  A1 30318E00   mov     eax, dword ptr [8E3130]
00895FD4  |.  33D2          xor     edx, edx
00895FD6  |.  8910          mov     dword ptr [eax], edx
00895FD8  |.  8B03          mov     eax, dword ptr [ebx]
00895FDA  |.  8B40 24       mov     eax, dword ptr [eax+24]
00895FDD  |.  80B8 AF040000>cmp     byte ptr [eax+4AF], 2
00895FE4  |.  74 3A         je      short TSMedPF_.00896020
00895FE6  |.  A1 202C8E00   mov     eax, dword ptr [8E2C20]
00895FEB  |.  8338 00       cmp     dword ptr [eax], 0
00895FEE  |.  76 30         jbe     short TSMedPF_.00896020
00895FF0  |.  8D4D E8       lea     ecx, dword ptr [ebp-18]
00895FF3  |.  BA 70638900   mov     edx, TSMedPF_.00896370
00895FF8  |.  B8 84638900   mov     eax, TSMedPF_.00896384           ;  menu
00895FFD  |.  E8 FA9B0200   call    TSMedPF_.008BFBFC
00896002  |.  8B45 E8       mov     eax, dword ptr [ebp-18]
00896005  |.  E8 6AE6B6FF   call    TSMedPF_.00404674
0089600A  |.  50            push    eax                              ; /ProcNameOrOrdinal
0089600B  |.  A1 202C8E00   mov     eax, dword ptr [8E2C20]          ; |
00896010  |.  8B00          mov     eax, dword ptr [eax]             ; |
00896012  |.  50            push    eax                              ; |hModule
00896013  |.  E8 D82CB7FF   call    <jmp.&kernel32.GetProcAddress>   ; \GetProcAddress
00896018  |.  8B15 BC318E00 mov     edx, dword ptr [8E31BC]          ;  TSMedPF_.008F11AC
0089601E  |.  8902          mov     dword ptr [edx], eax
00896020  |>  8B03          mov     eax, dword ptr [ebx]
00896022  |.  8B70 24       mov     esi, dword ptr [eax+24]
00896025  |.  80BE AF040000>cmp     byte ptr [esi+4AF], 2
0089602C  |.  74 21         je      short TSMedPF_.0089604F
0089602E  |.  8BC6          mov     eax, esi
00896030  |.  66:BA 3600    mov     dx, 36
00896034  |.  E8 D39D0200   call    TSMedPF_.008BFE0C
00896039  |.  84C0          test    al, al
0089603B  |.  74 12         je      short TSMedPF_.0089604F
0089603D  |.  8B03          mov     eax, dword ptr [ebx]
0089603F  |.  8B40 24       mov     eax, dword ptr [eax+24]
00896042  |.  66:BA 5E03    mov     dx, 35E
00896046  |.  E8 39A00200   call    TSMedPF_.008C0084
0089604B  |.  84C0          test    al, al
0089604D  |.  75 4F         jnz     short TSMedPF_.0089609E
0089604F  |>  A1 382F8E00   mov     eax, dword ptr [8E2F38]
00896054  |.  8B00          mov     eax, dword ptr [eax]
00896056  |.  C640 4B 00    mov     byte ptr [eax+4B], 0
0089605A  |.  8D4D E0       lea     ecx, dword ptr [ebp-20]
0089605D  |.  BA 94638900   mov     edx, TSMedPF_.00896394
00896062  |.  B8 B8638900   mov     eax, TSMedPF_.008963B8           ;  frmmain
00896067  |.  E8 909B0200   call    TSMedPF_.008BFBFC
0089606C  |.  FF75 E0       push    dword ptr [ebp-20]
0089606F  |.  68 C8638900   push    TSMedPF_.008963C8                ;  \n
00896074  |.  8B03          mov     eax, dword ptr [ebx]
00896076  |.  8B40 24       mov     eax, dword ptr [eax+24]
00896079  |.  FFB0 C4040000 push    dword ptr [eax+4C4]
0089607F  |.  8D45 E4       lea     eax, dword ptr [ebp-1C]
00896082  |.  BA 03000000   mov     edx, 3
00896087  |.  E8 E4E4B6FF   call    TSMedPF_.00404570
0089608C  |.  8B45 E4       mov     eax, dword ptr [ebp-1C]
0089608F  |.  BA 88130000   mov     edx, 1388
00896094  |.  E8 B729D5FF   call    TSMedPF_.005E8A50
00896099  |.  E9 63020000   jmp     TSMedPF_.00896301
0089609E  |>  A1 D0318E00   mov     eax, dword ptr [8E31D0]
008960A3  |.  8B15 A82D8E00 mov     edx, dword ptr [8E2DA8]          ;  TSMedPF_.008E269C
008960A9  |.  8B0A          mov     ecx, dword ptr [edx]
008960AB  |.  8908          mov     dword ptr [eax], ecx
008960AD  |.  8B4A 04       mov     ecx, dword ptr [edx+4]
008960B0  |.  8948 04       mov     dword ptr [eax+4], ecx
008960B3  |.  8B03          mov     eax, dword ptr [ebx]
008960B5  |.  8B40 24       mov     eax, dword ptr [eax+24]
008960B8  |.  33D2          xor     edx, edx
008960BA  |.  E8 BDA40200   call    TSMedPF_.008C057C
008960BF  |.  84C0          test    al, al
008960C1      0F85 55010000 jnz     TSMedPF_.0089621C           //关键跳
008960C7  |.  8B13          mov     edx, dword ptr [ebx]
008960C9  |.  8B42 24       mov     eax, dword ptr [edx+24]
008960CC  |.  80B8 AF040000>cmp     byte ptr [eax+4AF], 2
008960D3  |.  0F85 F4000000 jnz     TSMedPF_.008961CD
008960D9  |.  A1 30318E00   mov     eax, dword ptr [8E3130]
008960DE  |.  33C9          xor     ecx, ecx
008960E0  |.  8908          mov     dword ptr [eax], ecx
008960E2  |.  8B42 24       mov     eax, dword ptr [edx+24]
008960E5  |.  C680 AF040000>mov     byte ptr [eax+4AF], 1
008960EC  |.  C680 B0040000>mov     byte ptr [eax+4B0], 9
008960F3  |.  C680 AE040000>mov     byte ptr [eax+4AE], 1
008960FA  |.  C680 AF040000>mov     byte ptr [eax+4AF], 1
00896101  |.  8B03          mov     eax, dword ptr [ebx]
00896103  |.  8B40 24       mov     eax, dword ptr [eax+24]
00896106  |.  80B8 AF040000>cmp     byte ptr [eax+4AF], 2
0089610D  |.  74 3A         je      short TSMedPF_.00896149
0089610F  |.  A1 202C8E00   mov     eax, dword ptr [8E2C20]
00896114  |.  8338 00       cmp     dword ptr [eax], 0
00896117  |.  76 30         jbe     short TSMedPF_.00896149
00896119  |.  8D4D DC       lea     ecx, dword ptr [ebp-24]
0089611C  |.  BA 70638900   mov     edx, TSMedPF_.00896370
00896121  |.  B8 84638900   mov     eax, TSMedPF_.00896384           ;  menu
00896126  |.  E8 D19A0200   call    TSMedPF_.008BFBFC
0089612B  |.  8B45 DC       mov     eax, dword ptr [ebp-24]
0089612E  |.  E8 41E5B6FF   call    TSMedPF_.00404674
00896133  |.  50            push    eax                              ; /ProcNameOrOrdinal
00896134  |.  A1 202C8E00   mov     eax, dword ptr [8E2C20]          ; |
00896139  |.  8B00          mov     eax, dword ptr [eax]             ; |
0089613B  |.  50            push    eax                              ; |hModule
0089613C  |.  E8 AF2BB7FF   call    <jmp.&kernel32.GetProcAddress>   ; \GetProcAddress
00896141  |.  8B15 BC318E00 mov     edx, dword ptr [8E31BC]          ;  TSMedPF_.008F11AC
00896147  |.  8902          mov     dword ptr [edx], eax
00896149  |>  8B03          mov     eax, dword ptr [ebx]
0089614B  |.  8B40 24       mov     eax, dword ptr [eax+24]
0089614E  |.  66:BA 2400    mov     dx, 24
00896152  |.  E8 B59C0200   call    TSMedPF_.008BFE0C
00896157  |.  84C0          test    al, al
00896159  |.  74 26         je      short TSMedPF_.00896181
0089615B  |.  8B03          mov     eax, dword ptr [ebx]
0089615D  |.  8B40 24       mov     eax, dword ptr [eax+24]
00896160  |.  66:BA 9F0C    mov     dx, 0C9F
00896164  |.  E8 1B9F0200   call    TSMedPF_.008C0084
00896169  |.  84C0          test    al, al
0089616B  |.  74 14         je      short TSMedPF_.00896181
0089616D  |.  8B03          mov     eax, dword ptr [ebx]
0089616F  |.  8B40 24       mov     eax, dword ptr [eax+24]
00896172  |.  E8 A1B00200   call    TSMedPF_.008C1218
00896177  |.  66:83F8 02    cmp     ax, 2
0089617B  |.  0F83 9B000000 jnb     TSMedPF_.0089621C
00896181  |>  A1 382F8E00   mov     eax, dword ptr [8E2F38]
00896186  |.  8B00          mov     eax, dword ptr [eax]
00896188  |.  C640 4B 00    mov     byte ptr [eax+4B], 0
0089618C  |.  8D4D D4       lea     ecx, dword ptr [ebp-2C]
0089618F  |.  BA 94638900   mov     edx, TSMedPF_.00896394
00896194  |.  B8 B8638900   mov     eax, TSMedPF_.008963B8           ;  frmmain
00896199  |.  E8 5E9A0200   call    TSMedPF_.008BFBFC
0089619E  |.  FF75 D4       push    dword ptr [ebp-2C]
008961A1  |.  68 C8638900   push    TSMedPF_.008963C8                ;  \n
008961A6  |.  8B03          mov     eax, dword ptr [ebx]
008961A8  |.  8B40 24       mov     eax, dword ptr [eax+24]
008961AB  |.  FFB0 C4040000 push    dword ptr [eax+4C4]
008961B1  |.  8D45 D8       lea     eax, dword ptr [ebp-28]
008961B4  |.  BA 03000000   mov     edx, 3
008961B9  |.  E8 B2E3B6FF   call    TSMedPF_.00404570
008961BE  |.  8B45 D8       mov     eax, dword ptr [ebp-28]
008961C1  |.  BA 88130000   mov     edx, 1388
008961C6  |.  E8 8528D5FF   call    TSMedPF_.005E8A50
008961CB  |.  EB 4F         jmp     short TSMedPF_.0089621C
008961CD  |>  A1 382F8E00   mov     eax, dword ptr [8E2F38]
008961D2  |.  8B00          mov     eax, dword ptr [eax]
008961D4  |.  C640 4B 00    mov     byte ptr [eax+4B], 0
008961D8  |.  8D4D CC       lea     ecx, dword ptr [ebp-34]
008961DB  |.  BA 94638900   mov     edx, TSMedPF_.00896394
008961E0  |.  B8 B8638900   mov     eax, TSMedPF_.008963B8           ;  frmmain
008961E5  |.  E8 129A0200   call    TSMedPF_.008BFBFC
008961EA  |.  FF75 CC       push    dword ptr [ebp-34]
008961ED  |.  68 C8638900   push    TSMedPF_.008963C8                ;  \n
008961F2  |.  8B03          mov     eax, dword ptr [ebx]
008961F4  |.  8B40 24       mov     eax, dword ptr [eax+24]
008961F7  |.  FFB0 C4040000 push    dword ptr [eax+4C4]
008961FD  |.  8D45 D0       lea     eax, dword ptr [ebp-30]
00896200  |.  BA 03000000   mov     edx, 3
00896205  |.  E8 66E3B6FF   call    TSMedPF_.00404570
0089620A  |.  8B45 D0       mov     eax, dword ptr [ebp-30]
0089620D  |.  BA 88130000   mov     edx, 1388
00896212  |.  E8 3928D5FF   call    TSMedPF_.005E8A50
00896217  |.  E9 E5000000   jmp     TSMedPF_.00896301
0089621C  |>  8D55 C8       lea     edx, dword ptr [ebp-38]


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 194
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
接上部代码,并且就在下面这代出现了“产品未注册,请注册的消息”,但爆破后在使用时并未出现这个提示,所以猜想可能需要某个条件才能触发。尝试过把系统时间调到1年以后,也没有提示。

0089621C  |> \8D55 C8       lea     edx, dword ptr [ebp-38]
0089621F  |.  8B03          mov     eax, dword ptr [ebx]
00896221  |.  8B40 24       mov     eax, dword ptr [eax+24]
00896224  |.  E8 87AF0200   call    TSMedPF_.008C11B0
00896229  |.  8B45 C8       mov     eax, dword ptr [ebp-38]
0089622C  |.  8B57 08       mov     edx, dword ptr [edi+8]
0089622F  |.  E8 8CE3B6FF   call    TSMedPF_.004045C0
00896234  |.  8B03          mov     eax, dword ptr [ebx]
00896236  |.  8B70 24       mov     esi, dword ptr [eax+24]
00896239  |.  80BE AE040000>cmp     byte ptr [esi+4AE], 1
00896240  |.  75 36         jnz     short TSMedPF_.00896278
00896242  |.  8BC6          mov     eax, esi
00896244  |.  E8 CFAF0200   call    TSMedPF_.008C1218
00896249  |.  66:85C0       test    ax, ax
0089624C  |.  76 2A         jbe     short TSMedPF_.00896278
0089624E  |.  8B03          mov     eax, dword ptr [ebx]
00896250  |.  8B40 24       mov     eax, dword ptr [eax+24]
00896253  |.  E8 C0AF0200   call    TSMedPF_.008C1218
00896258  |.  0FB7C0        movzx   eax, ax
0089625B  |.  50            push    eax
0089625C  |.  6A 00         push    0
0089625E  |.  68 FE0C0000   push    0CFE
00896263  |.  A1 382F8E00   mov     eax, dword ptr [8E2F38]
00896268  |.  8B00          mov     eax, dword ptr [eax]
0089626A  |.  8B40 38       mov     eax, dword ptr [eax+38]
0089626D  |.  E8 B6D6BAFF   call    TSMedPF_.00443928
00896272  |.  50            push    eax                              ; |hWnd
00896273  |.  E8 6834B7FF   call    <jmp.&user32.PostMessageA>       ; \PostMessageA
00896278  |>  8B03          /mov     eax, dword ptr [ebx]
0089627A  |.  8B40 24       |mov     eax, dword ptr [eax+24]
0089627D  |.  B1 01         |mov     cl, 1
0089627F  |.  BA D4638900   |mov     edx, TSMedPF_.008963D4          ;  {910770de-f4ea-4f8c-90d6-e28d78d5afd2}
00896284  |.  E8 EBAF0200   |call    TSMedPF_.008C1274        //请问这里是关键CALL吗?
00896289  |.  83F8 FE       |cmp     eax, -2                         ;  Switch (cases FFFFFFFE..FFFFFFFF)
0089628C  |.  75 52         |jnz     short TSMedPF_.008962E0
0089628E  |.  B8 04648900   |mov     eax, TSMedPF_.00896404          ;  产品已过期,是否现在注册?; Case FFFFFFFE of switch 00896289
00896293  |.  E8 7428D5FF   |call    TSMedPF_.005E8B0C
00896298  |.  83F8 06       |cmp     eax, 6
0089629B  |.  75 2B         |jnz     short TSMedPF_.008962C8
0089629D  |.  BA D4638900   |mov     edx, TSMedPF_.008963D4          ;  {910770de-f4ea-4f8c-90d6-e28d78d5afd2}
008962A2  |.  8B03          |mov     eax, dword ptr [ebx]
008962A4  |.  8B40 24       |mov     eax, dword ptr [eax+24]
008962A7  |.  E8 B0B00200   |call    TSMedPF_.008C135C
008962AC  |.  84C0          |test    al, al
008962AE  |.^ 75 C8         \jnz     short TSMedPF_.00896278
008962B0  |.  8B03          mov     eax, dword ptr [ebx]
008962B2  |.  8B40 24       mov     eax, dword ptr [eax+24]
008962B5  |.  E8 16A20200   call    TSMedPF_.008C04D0
008962BA  |.  A1 382F8E00   mov     eax, dword ptr [8E2F38]
008962BF  |.  8B00          mov     eax, dword ptr [eax]
008962C1  |.  E8 9A74BCFF   call    TSMedPF_.0045D760
008962C6  |.  EB 39         jmp     short TSMedPF_.00896301
008962C8  |>  8B03          mov     eax, dword ptr [ebx]
008962CA  |.  8B40 24       mov     eax, dword ptr [eax+24]
008962CD  |.  E8 FEA10200   call    TSMedPF_.008C04D0
008962D2  |.  A1 382F8E00   mov     eax, dword ptr [8E2F38]
008962D7  |.  8B00          mov     eax, dword ptr [eax]
008962D9  |.  E8 8274BCFF   call    TSMedPF_.0045D760
008962DE  |.  EB 21         jmp     short TSMedPF_.00896301
008962E0  |>  40            inc     eax
008962E1  |.  75 1E         jnz     short TSMedPF_.00896301
008962E3  |.  B8 28648900   mov     eax, TSMedPF_.00896428           ;  Case FFFFFFFF of switch 00896289
008962E8  |.  E8 1F28D5FF   call    TSMedPF_.005E8B0C
008962ED  |.  83F8 06       cmp     eax, 6
008962F0  |.  75 0F         jnz     short TSMedPF_.00896301
008962F2  |.  BA D4638900   mov     edx, TSMedPF_.008963D4           ;  ASCII "{910770DE-F4EA-4F8C-90D6-E28D78D5AFD2}"
008962F7  |.  8B03          mov     eax, dword ptr [ebx]
008962F9  |.  8B40 24       mov     eax, dword ptr [eax+24]
008962FC  |.  E8 5BB00200   call    TSMedPF_.008C135C
00896301  |>  33C0          xor     eax, eax                         ;  Default case of switch 00896289
00896303  |.  5A            pop     edx
00896304  |.  59            pop     ecx
00896305  |.  59            pop     ecx
00896306  |.  64:8910       mov     dword ptr fs:[eax], edx
00896309  |.  68 23638900   push    TSMedPF_.00896323
0089630E  |>  8D45 C8       lea     eax, dword ptr [ebp-38]
00896311  |.  BA 0E000000   mov     edx, 0E
00896316  |.  E8 39DFB6FF   call    TSMedPF_.00404254
0089631B  \.  C3            retn
0089631C   .^ E9 47D8B6FF   jmp     TSMedPF_.00403B68
00896321   .^ EB EB         jmp     short TSMedPF_.0089630E
00896323   .  5F            pop     edi
00896324   .  5E            pop     esi
00896325   .  5B            pop     ebx
00896326   .  8BE5          mov     esp, ebp


2008-8-22 09:09
0
雪    币: 194
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
2、从0089628E  |.  B8 04648900   |mov     eax, TSMedPF_.00896404跟进后,出现了“checkregistinfo","registerproduct","showregistinfo"字段,可悟了几天都没出个啥结果,望兄弟们能指点一下。

请问这里是怎样触发的?有什么样的限制?

008C1274  /$  55            push    ebp
008C1275  |.  8BEC          mov     ebp, esp
008C1277  |.  83C4 F4       add     esp, -0C
008C127A  |.  53            push    ebx
008C127B  |.  56            push    esi
008C127C  |.  57            push    edi
008C127D  |.  33DB          xor     ebx, ebx
008C127F  |.  895D F4       mov     dword ptr [ebp-C], ebx
008C1282  |.  884D FB       mov     byte ptr [ebp-5], cl
008C1285  |.  8955 FC       mov     dword ptr [ebp-4], edx
008C1288  |.  8BD8          mov     ebx, eax
008C128A  |.  8B45 FC       mov     eax, dword ptr [ebp-4]
008C128D  |.  E8 D233B4FF   call    TSMedPF_.00404664
008C1292  |.  33C0          xor     eax, eax
008C1294  |.  55            push    ebp
008C1295  |.  68 3B138C00   push    TSMedPF_.008C133B
008C129A  |.  64:FF30       push    dword ptr fs:[eax]
008C129D  |.  64:8920       mov     dword ptr fs:[eax], esp
008C12A0  |.  BE FEFFFFFF   mov     esi, -2
008C12A5  |.  83BB D4040000>cmp     dword ptr [ebx+4D4], 0
008C12AC  |.  74 0F         je      short TSMedPF_.008C12BD
008C12AE  |.  83BB D0040000>cmp     dword ptr [ebx+4D0], 0
008C12B5  |.  74 06         je      short TSMedPF_.008C12BD
008C12B7  |.  837D FC 00    cmp     dword ptr [ebp-4], 0
008C12BB  |.  75 07         jnz     short TSMedPF_.008C12C4
008C12BD  |>  BE F6FFFFFF   mov     esi, -0A
008C12C2  |.  EB 59         jmp     short TSMedPF_.008C131D
008C12C4  |>  A1 3C2E8E00   mov     eax, dword ptr [8E2E3C]
008C12C9  |.  8338 00       cmp     dword ptr [eax], 0
008C12CC  |.  76 4F         jbe     short TSMedPF_.008C131D
008C12CE  |.  68 4C138C00   push    TSMedPF_.008C134C                ; /checkregistinfo
008C12D3  |.  A1 3C2E8E00   mov     eax, dword ptr [8E2E3C]          ; |
008C12D8  |.  8B00          mov     eax, dword ptr [eax]             ; |
008C12DA  |.  50            push    eax                              ; |hModule
008C12DB  |.  E8 107AB4FF   call    <jmp.&kernel32.GetProcAddress>   ; \GetProcAddress
008C12E0  |.  89C7          mov     edi, eax
008C12E2  |.  85FF          test    edi, edi
008C12E4  |.  74 37         je      short TSMedPF_.008C131D
008C12E6  |.  8A45 FB       mov     al, byte ptr [ebp-5]
008C12E9  |.  50            push    eax
008C12EA  |.  8D55 F4       lea     edx, dword ptr [ebp-C]
008C12ED  |.  A1 382F8E00   mov     eax, dword ptr [8E2F38]
008C12F2  |.  8B00          mov     eax, dword ptr [eax]
008C12F4  |.  E8 7BC8B9FF   call    TSMedPF_.0045DB74
008C12F9  |.  8B45 F4       mov     eax, dword ptr [ebp-C]
008C12FC  |.  50            push    eax
008C12FD  |.  8B45 FC       mov     eax, dword ptr [ebp-4]
008C1300  |.  50            push    eax
008C1301  |.  8B83 D0040000 mov     eax, dword ptr [ebx+4D0]
008C1307  |.  50            push    eax
008C1308  |.  8B83 D4040000 mov     eax, dword ptr [ebx+4D4]
008C130E  |.  50            push    eax
008C130F  |.  FFD7          call    edi
008C1311  |.  8BF0          mov     esi, eax
008C1313  |.  85F6          test    esi, esi
008C1315  |.  A1 E82D8E00   mov     eax, dword ptr [8E2DE8]
008C131A  |.  0F9500        setne   byte ptr [eax]
008C131D  |>  33C0          xor     eax, eax
008C131F  |.  5A            pop     edx
008C1320  |.  59            pop     ecx
008C1321  |.  59            pop     ecx
008C1322  |.  64:8910       mov     dword ptr fs:[eax], edx
008C1325  |.  68 42138C00   push    TSMedPF_.008C1342
008C132A  |>  8D45 F4       lea     eax, dword ptr [ebp-C]
008C132D  |.  E8 FE2EB4FF   call    TSMedPF_.00404230
008C1332  |.  8D45 FC       lea     eax, dword ptr [ebp-4]
008C1335  |.  E8 F62EB4FF   call    TSMedPF_.00404230
008C133A  \.  C3            retn
008C133B   .^ E9 2828B4FF   jmp     TSMedPF_.00403B68
008C1340   .^ EB E8         jmp     short TSMedPF_.008C132A
008C1342   .  8BC6          mov     eax, esi
008C1344   .  5F            pop     edi
008C1345   .  5E            pop     esi
008C1346   .  5B            pop     ebx
008C1347   .  8BE5          mov     esp, ebp
008C1349   .  5D            pop     ebp
008C134A   .  C3            retn
008C134B      00            db      00
008C134C   .  43 68 65 63 6>ascii   "CheckRegistInfo",0
008C135C  /$  55            push    ebp
008C135D  |.  8BEC          mov     ebp, esp
008C135F  |.  83C4 F8       add     esp, -8
008C1362  |.  53            push    ebx
008C1363  |.  56            push    esi
008C1364  |.  57            push    edi
008C1365  |.  33C9          xor     ecx, ecx
008C1367  |.  894D F8       mov     dword ptr [ebp-8], ecx
008C136A  |.  8955 FC       mov     dword ptr [ebp-4], edx
008C136D  |.  8BF8          mov     edi, eax
008C136F  |.  8B45 FC       mov     eax, dword ptr [ebp-4]
008C1372  |.  E8 ED32B4FF   call    TSMedPF_.00404664
008C1377  |.  33C0          xor     eax, eax
008C1379  |.  55            push    ebp
008C137A  |.  68 05148C00   push    TSMedPF_.008C1405
008C137F  |.  64:FF30       push    dword ptr fs:[eax]
008C1382  |.  64:8920       mov     dword ptr fs:[eax], esp
008C1385  |.  33DB          xor     ebx, ebx
008C1387  |.  83BF D4040000>cmp     dword ptr [edi+4D4], 0
008C138E  |.  74 5A         je      short TSMedPF_.008C13EA
008C1390  |.  83BF D0040000>cmp     dword ptr [edi+4D0], 0
008C1397  |.  74 51         je      short TSMedPF_.008C13EA
008C1399  |.  837D FC 00    cmp     dword ptr [ebp-4], 0
008C139D  |.  74 4B         je      short TSMedPF_.008C13EA
008C139F  |.  A1 3C2E8E00   mov     eax, dword ptr [8E2E3C]
008C13A4  |.  8338 00       cmp     dword ptr [eax], 0
008C13A7  |.  74 41         je      short TSMedPF_.008C13EA
008C13A9  |.  68 18148C00   push    TSMedPF_.008C1418                ; /registerproduct
008C13AE  |.  A1 3C2E8E00   mov     eax, dword ptr [8E2E3C]          ; |
008C13B3  |.  8B00          mov     eax, dword ptr [eax]             ; |
008C13B5  |.  50            push    eax                              ; |hModule
008C13B6  |.  E8 3579B4FF   call    <jmp.&kernel32.GetProcAddress>   ; \GetProcAddress
008C13BB  |.  89C6          mov     esi, eax
008C13BD  |.  85F6          test    esi, esi
008C13BF  |.  74 29         je      short TSMedPF_.008C13EA
008C13C1  |.  8D55 F8       lea     edx, dword ptr [ebp-8]
008C13C4  |.  A1 382F8E00   mov     eax, dword ptr [8E2F38]
008C13C9  |.  8B00          mov     eax, dword ptr [eax]
008C13CB  |.  E8 A4C7B9FF   call    TSMedPF_.0045DB74
008C13D0  |.  8B45 F8       mov     eax, dword ptr [ebp-8]
008C13D3  |.  50            push    eax
008C13D4  |.  8B45 FC       mov     eax, dword ptr [ebp-4]
008C13D7  |.  50            push    eax
008C13D8  |.  8B87 D0040000 mov     eax, dword ptr [edi+4D0]
008C13DE  |.  50            push    eax
008C13DF  |.  8B87 D4040000 mov     eax, dword ptr [edi+4D4]
008C13E5  |.  50            push    eax
008C13E6  |.  FFD6          call    esi
008C13E8  |.  8BD8          mov     ebx, eax
008C13EA  |>  33C0          xor     eax, eax
008C13EC  |.  5A            pop     edx
008C13ED  |.  59            pop     ecx
008C13EE  |.  59            pop     ecx
008C13EF  |.  64:8910       mov     dword ptr fs:[eax], edx
008C13F2  |.  68 0C148C00   push    TSMedPF_.008C140C
008C13F7  |>  8D45 F8       lea     eax, dword ptr [ebp-8]
008C13FA  |.  BA 02000000   mov     edx, 2
008C13FF  |.  E8 502EB4FF   call    TSMedPF_.00404254
008C1404  \.  C3            retn
008C1405   .^ E9 5E27B4FF   jmp     TSMedPF_.00403B68
008C140A   .^ EB EB         jmp     short TSMedPF_.008C13F7
008C140C   .  8BC3          mov     eax, ebx
008C140E   .  5F            pop     edi
008C140F   .  5E            pop     esi
008C1410   .  5B            pop     ebx
008C1411   .  59            pop     ecx
008C1412   .  59            pop     ecx
008C1413   .  5D            pop     ebp
008C1414   .  C3            retn
008C1415      00            db      00
008C1416      00            db      00
008C1417      00            db      00
008C1418   .  52 65 67 69 7>ascii   "RegisterProduct",0
008C1428  /$  55            push    ebp
008C1429  |.  8BEC          mov     ebp, esp
008C142B  |.  83C4 F8       add     esp, -8
008C142E  |.  53            push    ebx
008C142F  |.  56            push    esi
008C1430  |.  57            push    edi
008C1431  |.  33C9          xor     ecx, ecx
008C1433  |.  894D F8       mov     dword ptr [ebp-8], ecx
008C1436  |.  8955 FC       mov     dword ptr [ebp-4], edx
008C1439  |.  8BF8          mov     edi, eax
008C143B  |.  8B45 FC       mov     eax, dword ptr [ebp-4]
008C143E  |.  E8 2132B4FF   call    TSMedPF_.00404664
008C1443  |.  33C0          xor     eax, eax
008C1445  |.  55            push    ebp
008C1446  |.  68 D1148C00   push    TSMedPF_.008C14D1
008C144B  |.  64:FF30       push    dword ptr fs:[eax]
008C144E  |.  64:8920       mov     dword ptr fs:[eax], esp
008C1451  |.  33DB          xor     ebx, ebx
008C1453  |.  83BF D4040000>cmp     dword ptr [edi+4D4], 0
008C145A  |.  74 5A         je      short TSMedPF_.008C14B6
008C145C  |.  83BF D0040000>cmp     dword ptr [edi+4D0], 0
008C1463  |.  74 51         je      short TSMedPF_.008C14B6
008C1465  |.  837D FC 00    cmp     dword ptr [ebp-4], 0
008C1469  |.  74 4B         je      short TSMedPF_.008C14B6
008C146B  |.  A1 3C2E8E00   mov     eax, dword ptr [8E2E3C]
008C1470  |.  8338 00       cmp     dword ptr [eax], 0
008C1473  |.  74 41         je      short TSMedPF_.008C14B6
008C1475  |.  68 E4148C00   push    TSMedPF_.008C14E4                ; /showregistinfo
008C147A  |.  A1 3C2E8E00   mov     eax, dword ptr [8E2E3C]          ; |
008C147F  |.  8B00          mov     eax, dword ptr [eax]             ; |
008C1481  |.  50            push    eax                              ; |hModule
008C1482  |.  E8 6978B4FF   call    <jmp.&kernel32.GetProcAddress>   ; \GetProcAddress
008C1487  |.  89C6          mov     esi, eax
008C1489  |.  85F6          test    esi, esi
008C148B  |.  74 29         je      short TSMedPF_.008C14B6
008C148D  |.  8D55 F8       lea     edx, dword ptr [ebp-8]
008C1490  |.  A1 382F8E00   mov     eax, dword ptr [8E2F38]
008C1495  |.  8B00          mov     eax, dword ptr [eax]
008C1497  |.  E8 D8C6B9FF   call    TSMedPF_.0045DB74
008C149C  |.  8B45 F8       mov     eax, dword ptr [ebp-8]
008C149F  |.  50            push    eax
008C14A0  |.  8B45 FC       mov     eax, dword ptr [ebp-4]
008C14A3  |.  50            push    eax
008C14A4  |.  8B87 D0040000 mov     eax, dword ptr [edi+4D0]
008C14AA  |.  50            push    eax
008C14AB  |.  8B87 D4040000 mov     eax, dword ptr [edi+4D4]
008C14B1  |.  50            push    eax
008C14B2  |.  FFD6          call    esi
008C14B4  |.  8BD8          mov     ebx, eax
008C14B6  |>  33C0          xor     eax, eax
008C14B8  |.  5A            pop     edx
008C14B9  |.  59            pop     ecx
008C14BA  |.  59            pop     ecx
008C14BB  |.  64:8910       mov     dword ptr fs:[eax], edx
008C14BE  |.  68 D8148C00   push    TSMedPF_.008C14D8
008C14C3  |>  8D45 F8       lea     eax, dword ptr [ebp-8]
008C14C6  |.  BA 02000000   mov     edx, 2
008C14CB  |.  E8 842DB4FF   call    TSMedPF_.00404254
008C14D0  \.  C3            retn
008C14D1   .^ E9 9226B4FF   jmp     TSMedPF_.00403B68
008C14D6   .^ EB EB         jmp     short TSMedPF_.008C14C3
008C14D8   .  8BC3          mov     eax, ebx
008C14DA   .  5F            pop     edi
008C14DB   .  5E            pop     esi
008C14DC   .  5B            pop     ebx
008C14DD   .  59            pop     ecx
008C14DE   .  59            pop     ecx
008C14DF   .  5D            pop     ebp
008C14E0   .  C3            retn
008C14E1      00            db      00
008C14E2      00            db      00
008C14E3      00            db      00
008C14E4   .  53 68 6F 77 5>ascii   "ShowRegistInfo",0
008C14F3      00            db      00
008C14F4   .  55            push    ebp
008C14F5   .  8BEC          mov     ebp, esp
008C14F7   .  33C0          xor     eax, eax
008C14F9   .  55            push    ebp
008C14FA   .  68 78158C00   push    TSMedPF_.008C1578
008C14FF   .  64:FF30       push    dword ptr fs:[eax]
008C1502   .  64:8920       mov     dword ptr fs:[eax], esp
008C1505   .  FF05 D4DC9100 inc     dword ptr [91DCD4]
008C150B   .  75 5D         jnz     short TSMedPF_.008C156A
008C150D   .  B8 AC268E00   mov     eax, TSMedPF_.008E26AC
008C1512   .  E8 192DB4FF   call    TSMedPF_.00404230
008C1517   .  B8 A8268E00   mov     eax, TSMedPF_.008E26A8
008C151C   .  E8 0F2DB4FF   call    TSMedPF_.00404230
008C1521   .  B8 A4268E00   mov     eax, TSMedPF_.008E26A4
008C1526   .  E8 052DB4FF   call    TSMedPF_.00404230
008C152B   .  B8 88268E00   mov     eax, TSMedPF_.008E2688
008C1530   .  B9 02000000   mov     ecx, 2
008C1535   .  8B15 34114000 mov     edx, dword ptr [401134]          ;  TSMedPF_.00401138
008C153B   .  E8 2438B4FF   call    TSMedPF_.00404D64
008C1540   .  B8 5C268E00   mov     eax, TSMedPF_.008E265C
008C1545   .  B9 0B000000   mov     ecx, 0B
008C154A   .  8B15 34114000 mov     edx, dword ptr [401134]          ;  TSMedPF_.00401138
008C1550   .  E8 0F38B4FF   call    TSMedPF_.00404D64
008C1555   .  B8 54268E00   mov     eax, TSMedPF_.008E2654
008C155A   .  B9 02000000   mov     ecx, 2
008C155F   .  8B15 34114000 mov     edx, dword ptr [401134]          ;  TSMedPF_.00401138
008C1565   .  E8 FA37B4FF   call    TSMedPF_.00404D64
008C156A   >  33C0          xor     eax, eax

2008-8-22 09:17
0
游客
登录 | 注册 方可回帖
返回
//