[求助]新手问题，请兄弟们帮我确认一下思路是否正确！-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]新手问题，请兄弟们帮我确认一下思路是否正确！ 0.00雪花

发表于: 2008-8-22 09:03 4167

[旧帖] [求助]新手问题，请兄弟们帮我确认一下思路是否正确！ 0.00雪花

1key

2008-8-22 09:03

4167

在分析爆破一个Borland Delphi 4.0 - 5.0程序的时候，发现新版本比老版（此软件需要Rock4狗）多了个注册项，似乎需要注册才能正常使用。新版跟老版一样爆掉关键跳后，已经可以正常启动，但总觉得可能会有暗桩，找来找去也没弄明白。

现有两个疑问如下：
1、哪个才是注册关键CALL？

00895E5F  |.  E8 542FB7FF   call    <jmp.&kernel32.LoadLibraryA>     ; \LoadLibraryA
00895E64  |.  8B15 3C2E8E00 mov     edx, dword ptr [8E2E3C]          ;  TSMedPF_.008F11B4
00895E6A  |.  8902          mov     dword ptr [edx], eax
00895E6C  |.  833B 00       cmp     dword ptr [ebx], 0
00895E6F  |.  75 12         jnz     short TSMedPF_.00895E83
00895E71  |.  8BCF          mov     ecx, edi
00895E73  |.  B2 01         mov     dl, 1
00895E75  |.  A1 A8F68B00   mov     eax, dword ptr [8BF6A8]
00895E7A  |.  E8 C1AE0200   call    TSMedPF_.008C0D40
00895E7F  |.  8903          mov     dword ptr [ebx], eax
00895E81  |.  EB 0A         jmp     short TSMedPF_.00895E8D
00895E83  |>  8B03          mov     eax, dword ptr [ebx]
00895E85  |.  8B40 24       mov     eax, dword ptr [eax+24]
00895E88  |.  E8 43A60200   call    TSMedPF_.008C04D0
00895E8D  |>  8B03          mov     eax, dword ptr [ebx]
00895E8F  |.  8B70 24       mov     esi, dword ptr [eax+24]
00895E92  |.  C686 AE040000>mov     byte ptr [esi+4AE], 0
00895E99  |.  C686 AF040000>mov     byte ptr [esi+4AF], 2
00895EA0  |.  C686 B0040000>mov     byte ptr [esi+4B0], 0
00895EA7  |.  8BC6          mov     eax, esi
00895EA9  |.  66:BA 1000    mov     dx, 10
00895EAD  |.  E8 5A9F0200   call    TSMedPF_.008BFE0C
00895EB2  |.  84C0          test    al, al
00895EB4      0F85 CB000000 jnz     TSMedPF_.00895F85      //爆破 时的关键跳 JMP
00895EBA  |.  8B03          mov     eax, dword ptr [ebx]
00895EBC  |.  8B40 24       mov     eax, dword ptr [eax+24]
00895EBF  |.  C680 AE040000>mov     byte ptr [eax+4AE], 1
00895EC6  |.  C680 AF040000>mov     byte ptr [eax+4AF], 1
00895ECD  |.  A1 30318E00   mov     eax, dword ptr [8E3130]
00895ED2  |.  33D2          xor     edx, edx
00895ED4  |.  8910          mov     dword ptr [eax], edx
00895ED6  |.  8B03          mov     eax, dword ptr [ebx]
00895ED8  |.  8B40 24       mov     eax, dword ptr [eax+24]
00895EDB  |.  80B8 AF040000>cmp     byte ptr [eax+4AF], 2
00895EE2  |.  74 3A         je      short TSMedPF_.00895F1E
00895EE4  |.  A1 202C8E00   mov     eax, dword ptr [8E2C20]
00895EE9  |.  8338 00       cmp     dword ptr [eax], 0
00895EEC  |.  76 30         jbe     short TSMedPF_.00895F1E
00895EEE  |.  8D4D F4       lea     ecx, dword ptr [ebp-C]
00895EF1  |.  BA 70638900   mov     edx, TSMedPF_.00896370
00895EF6  |.  B8 84638900   mov     eax, TSMedPF_.00896384           ;  menu
00895EFB  |.  E8 FC9C0200   call    TSMedPF_.008BFBFC
00895F00  |.  8B45 F4       mov     eax, dword ptr [ebp-C]
00895F03  |.  E8 6CE7B6FF   call    TSMedPF_.00404674
00895F08  |.  50            push    eax                              ; /ProcNameOrOrdinal
00895F09  |.  A1 202C8E00   mov     eax, dword ptr [8E2C20]          ; |
00895F0E  |.  8B00          mov     eax, dword ptr [eax]             ; |
00895F10  |.  50            push    eax                              ; |hModule
00895F11  |.  E8 DA2DB7FF   call    <jmp.&kernel32.GetProcAddress>   ; \GetProcAddress
00895F16  |.  8B15 BC318E00 mov     edx, dword ptr [8E31BC]          ;  TSMedPF_.008F11AC
00895F1C  |.  8902          mov     dword ptr [edx], eax
00895F1E  |>  8B03          mov     eax, dword ptr [ebx]
00895F20  |.  8B70 24       mov     esi, dword ptr [eax+24]
00895F23  |.  80BE AF040000>cmp     byte ptr [esi+4AF], 2
00895F2A  |.  74 0F         je      short TSMedPF_.00895F3B
00895F2C  |.  8BC6          mov     eax, esi
00895F2E  |.  66:BA 0900    mov     dx, 9
00895F32  |.  E8 D59E0200   call    TSMedPF_.008BFE0C
00895F37  |.  84C0          test    al, al
00895F39  |.  75 4A         jnz     short TSMedPF_.00895F85
00895F3B  |>  A1 382F8E00   mov     eax, dword ptr [8E2F38]
00895F40  |.  8B00          mov     eax, dword ptr [eax]
00895F42  |.  C640 4B 00    mov     byte ptr [eax+4B], 0
00895F46  |.  8D4D EC       lea     ecx, dword ptr [ebp-14]
00895F49  |.  BA 94638900   mov     edx, TSMedPF_.00896394
00895F4E  |.  B8 B8638900   mov     eax, TSMedPF_.008963B8           ;  frmmain
00895F53  |.  E8 A49C0200   call    TSMedPF_.008BFBFC
00895F58  |.  FF75 EC       push    dword ptr [ebp-14]
00895F5B  |.  68 C8638900   push    TSMedPF_.008963C8                ;  \n
00895F60  |.  8B03          mov     eax, dword ptr [ebx]
00895F62  |.  8B40 24       mov     eax, dword ptr [eax+24]
00895F65  |.  FFB0 C4040000 push    dword ptr [eax+4C4]
00895F6B  |.  8D45 F0       lea     eax, dword ptr [ebp-10]
00895F6E  |.  BA 03000000   mov     edx, 3
00895F73  |.  E8 F8E5B6FF   call    TSMedPF_.00404570
00895F78  |.  8B45 F0       mov     eax, dword ptr [ebp-10]
00895F7B  |.  BA 88130000   mov     edx, 1388
00895F80  |.  E8 CB2AD5FF   call    TSMedPF_.005E8A50
00895F85  |>  8B03          mov     eax, dword ptr [ebx]
00895F87  |.  8B40 24       mov     eax, dword ptr [eax+24]
00895F8A  |.  66:BA 4301    mov     dx, 143
00895F8E  |.  E8 F1A00200   call    TSMedPF_.008C0084
00895F93  |.  84C0          test    al, al
00895F95      0F85 03010000 jnz     TSMedPF_.0089609E      //关键跳
00895F9B  |.  8B03          mov     eax, dword ptr [ebx]
00895F9D  |.  8B40 24       mov     eax, dword ptr [eax+24]
00895FA0  |.  E8 2BA50200   call    TSMedPF_.008C04D0
00895FA5  |.  8B03          mov     eax, dword ptr [ebx]
00895FA7  |.  8B40 24       mov     eax, dword ptr [eax+24]
00895FAA  |.  C680 AF040000>mov     byte ptr [eax+4AF], 1
00895FB1  |.  8A90 AC040000 mov     dl, byte ptr [eax+4AC]
00895FB7  |.  80EA 01       sub     dl, 1
00895FBA  |.  74 07         je      short TSMedPF_.00895FC3
00895FBC  |.  C680 AF040000>mov     byte ptr [eax+4AF], 2
00895FC3  |>  8B03          mov     eax, dword ptr [ebx]
00895FC5  |.  8B40 24       mov     eax, dword ptr [eax+24]
00895FC8  |.  C680 AE040000>mov     byte ptr [eax+4AE], 1
00895FCF  |.  A1 30318E00   mov     eax, dword ptr [8E3130]
00895FD4  |.  33D2          xor     edx, edx
00895FD6  |.  8910          mov     dword ptr [eax], edx
00895FD8  |.  8B03          mov     eax, dword ptr [ebx]
00895FDA  |.  8B40 24       mov     eax, dword ptr [eax+24]
00895FDD  |.  80B8 AF040000>cmp     byte ptr [eax+4AF], 2
00895FE4  |.  74 3A         je      short TSMedPF_.00896020
00895FE6  |.  A1 202C8E00   mov     eax, dword ptr [8E2C20]
00895FEB  |.  8338 00       cmp     dword ptr [eax], 0
00895FEE  |.  76 30         jbe     short TSMedPF_.00896020
00895FF0  |.  8D4D E8       lea     ecx, dword ptr [ebp-18]
00895FF3  |.  BA 70638900   mov     edx, TSMedPF_.00896370
00895FF8  |.  B8 84638900   mov     eax, TSMedPF_.00896384           ;  menu
00895FFD  |.  E8 FA9B0200   call    TSMedPF_.008BFBFC
00896002  |.  8B45 E8       mov     eax, dword ptr [ebp-18]
00896005  |.  E8 6AE6B6FF   call    TSMedPF_.00404674
0089600A  |.  50            push    eax                              ; /ProcNameOrOrdinal
0089600B  |.  A1 202C8E00   mov     eax, dword ptr [8E2C20]          ; |
00896010  |.  8B00          mov     eax, dword ptr [eax]             ; |
00896012  |.  50            push    eax                              ; |hModule
00896013  |.  E8 D82CB7FF   call    <jmp.&kernel32.GetProcAddress>   ; \GetProcAddress
00896018  |.  8B15 BC318E00 mov     edx, dword ptr [8E31BC]          ;  TSMedPF_.008F11AC
0089601E  |.  8902          mov     dword ptr [edx], eax
00896020  |>  8B03          mov     eax, dword ptr [ebx]
00896022  |.  8B70 24       mov     esi, dword ptr [eax+24]
00896025  |.  80BE AF040000>cmp     byte ptr [esi+4AF], 2
0089602C  |.  74 21         je      short TSMedPF_.0089604F
0089602E  |.  8BC6          mov     eax, esi
00896030  |.  66:BA 3600    mov     dx, 36
00896034  |.  E8 D39D0200   call    TSMedPF_.008BFE0C
00896039  |.  84C0          test    al, al
0089603B  |.  74 12         je      short TSMedPF_.0089604F
0089603D  |.  8B03          mov     eax, dword ptr [ebx]
0089603F  |.  8B40 24       mov     eax, dword ptr [eax+24]
00896042  |.  66:BA 5E03    mov     dx, 35E
00896046  |.  E8 39A00200   call    TSMedPF_.008C0084
0089604B  |.  84C0          test    al, al
0089604D  |.  75 4F         jnz     short TSMedPF_.0089609E
0089604F  |>  A1 382F8E00   mov     eax, dword ptr [8E2F38]
00896054  |.  8B00          mov     eax, dword ptr [eax]
00896056  |.  C640 4B 00    mov     byte ptr [eax+4B], 0
0089605A  |.  8D4D E0       lea     ecx, dword ptr [ebp-20]
0089605D  |.  BA 94638900   mov     edx, TSMedPF_.00896394
00896062  |.  B8 B8638900   mov     eax, TSMedPF_.008963B8           ;  frmmain
00896067  |.  E8 909B0200   call    TSMedPF_.008BFBFC
0089606C  |.  FF75 E0       push    dword ptr [ebp-20]
0089606F  |.  68 C8638900   push    TSMedPF_.008963C8                ;  \n
00896074  |.  8B03          mov     eax, dword ptr [ebx]
00896076  |.  8B40 24       mov     eax, dword ptr [eax+24]
00896079  |.  FFB0 C4040000 push    dword ptr [eax+4C4]
0089607F  |.  8D45 E4       lea     eax, dword ptr [ebp-1C]
00896082  |.  BA 03000000   mov     edx, 3
00896087  |.  E8 E4E4B6FF   call    TSMedPF_.00404570
0089608C  |.  8B45 E4       mov     eax, dword ptr [ebp-1C]
0089608F  |.  BA 88130000   mov     edx, 1388
00896094  |.  E8 B729D5FF   call    TSMedPF_.005E8A50
00896099  |.  E9 63020000   jmp     TSMedPF_.00896301
0089609E  |>  A1 D0318E00   mov     eax, dword ptr [8E31D0]
008960A3  |.  8B15 A82D8E00 mov     edx, dword ptr [8E2DA8]          ;  TSMedPF_.008E269C
008960A9  |.  8B0A          mov     ecx, dword ptr [edx]
008960AB  |.  8908          mov     dword ptr [eax], ecx
008960AD  |.  8B4A 04       mov     ecx, dword ptr [edx+4]
008960B0  |.  8948 04       mov     dword ptr [eax+4], ecx
008960B3  |.  8B03          mov     eax, dword ptr [ebx]
008960B5  |.  8B40 24       mov     eax, dword ptr [eax+24]
008960B8  |.  33D2          xor     edx, edx
008960BA  |.  E8 BDA40200   call    TSMedPF_.008C057C
008960BF  |.  84C0          test    al, al
008960C1      0F85 55010000 jnz     TSMedPF_.0089621C           //关键跳
008960C7  |.  8B13          mov     edx, dword ptr [ebx]
008960C9  |.  8B42 24       mov     eax, dword ptr [edx+24]
008960CC  |.  80B8 AF040000>cmp     byte ptr [eax+4AF], 2
008960D3  |.  0F85 F4000000 jnz     TSMedPF_.008961CD
008960D9  |.  A1 30318E00   mov     eax, dword ptr [8E3130]
008960DE  |.  33C9          xor     ecx, ecx
008960E0  |.  8908          mov     dword ptr [eax], ecx
008960E2  |.  8B42 24       mov     eax, dword ptr [edx+24]
008960E5  |.  C680 AF040000>mov     byte ptr [eax+4AF], 1
008960EC  |.  C680 B0040000>mov     byte ptr [eax+4B0], 9
008960F3  |.  C680 AE040000>mov     byte ptr [eax+4AE], 1
008960FA  |.  C680 AF040000>mov     byte ptr [eax+4AF], 1
00896101  |.  8B03          mov     eax, dword ptr [ebx]
00896103  |.  8B40 24       mov     eax, dword ptr [eax+24]
00896106  |.  80B8 AF040000>cmp     byte ptr [eax+4AF], 2
0089610D  |.  74 3A         je      short TSMedPF_.00896149
0089610F  |.  A1 202C8E00   mov     eax, dword ptr [8E2C20]
00896114  |.  8338 00       cmp     dword ptr [eax], 0
00896117  |.  76 30         jbe     short TSMedPF_.00896149
00896119  |.  8D4D DC       lea     ecx, dword ptr [ebp-24]
0089611C  |.  BA 70638900   mov     edx, TSMedPF_.00896370
00896121  |.  B8 84638900   mov     eax, TSMedPF_.00896384           ;  menu
00896126  |.  E8 D19A0200   call    TSMedPF_.008BFBFC
0089612B  |.  8B45 DC       mov     eax, dword ptr [ebp-24]
0089612E  |.  E8 41E5B6FF   call    TSMedPF_.00404674
00896133  |.  50            push    eax                              ; /ProcNameOrOrdinal
00896134  |.  A1 202C8E00   mov     eax, dword ptr [8E2C20]          ; |
00896139  |.  8B00          mov     eax, dword ptr [eax]             ; |
0089613B  |.  50            push    eax                              ; |hModule
0089613C  |.  E8 AF2BB7FF   call    <jmp.&kernel32.GetProcAddress>   ; \GetProcAddress
00896141  |.  8B15 BC318E00 mov     edx, dword ptr [8E31BC]          ;  TSMedPF_.008F11AC
00896147  |.  8902          mov     dword ptr [edx], eax
00896149  |>  8B03          mov     eax, dword ptr [ebx]
0089614B  |.  8B40 24       mov     eax, dword ptr [eax+24]
0089614E  |.  66:BA 2400    mov     dx, 24
00896152  |.  E8 B59C0200   call    TSMedPF_.008BFE0C
00896157  |.  84C0          test    al, al
00896159  |.  74 26         je      short TSMedPF_.00896181
0089615B  |.  8B03          mov     eax, dword ptr [ebx]
0089615D  |.  8B40 24       mov     eax, dword ptr [eax+24]
00896160  |.  66:BA 9F0C    mov     dx, 0C9F
00896164  |.  E8 1B9F0200   call    TSMedPF_.008C0084
00896169  |.  84C0          test    al, al
0089616B  |.  74 14         je      short TSMedPF_.00896181
0089616D  |.  8B03          mov     eax, dword ptr [ebx]
0089616F  |.  8B40 24       mov     eax, dword ptr [eax+24]
00896172  |.  E8 A1B00200   call    TSMedPF_.008C1218
00896177  |.  66:83F8 02    cmp     ax, 2
0089617B  |.  0F83 9B000000 jnb     TSMedPF_.0089621C
00896181  |>  A1 382F8E00   mov     eax, dword ptr [8E2F38]
00896186  |.  8B00          mov     eax, dword ptr [eax]
00896188  |.  C640 4B 00    mov     byte ptr [eax+4B], 0
0089618C  |.  8D4D D4       lea     ecx, dword ptr [ebp-2C]
0089618F  |.  BA 94638900   mov     edx, TSMedPF_.00896394
00896194  |.  B8 B8638900   mov     eax, TSMedPF_.008963B8           ;  frmmain
00896199  |.  E8 5E9A0200   call    TSMedPF_.008BFBFC
0089619E  |.  FF75 D4       push    dword ptr [ebp-2C]
008961A1  |.  68 C8638900   push    TSMedPF_.008963C8                ;  \n
008961A6  |.  8B03          mov     eax, dword ptr [ebx]
008961A8  |.  8B40 24       mov     eax, dword ptr [eax+24]
008961AB  |.  FFB0 C4040000 push    dword ptr [eax+4C4]
008961B1  |.  8D45 D8       lea     eax, dword ptr [ebp-28]
008961B4  |.  BA 03000000   mov     edx, 3
008961B9  |.  E8 B2E3B6FF   call    TSMedPF_.00404570
008961BE  |.  8B45 D8       mov     eax, dword ptr [ebp-28]
008961C1  |.  BA 88130000   mov     edx, 1388
008961C6  |.  E8 8528D5FF   call    TSMedPF_.005E8A50
008961CB  |.  EB 4F         jmp     short TSMedPF_.0089621C
008961CD  |>  A1 382F8E00   mov     eax, dword ptr [8E2F38]
008961D2  |.  8B00          mov     eax, dword ptr [eax]
008961D4  |.  C640 4B 00    mov     byte ptr [eax+4B], 0
008961D8  |.  8D4D CC       lea     ecx, dword ptr [ebp-34]
008961DB  |.  BA 94638900   mov     edx, TSMedPF_.00896394
008961E0  |.  B8 B8638900   mov     eax, TSMedPF_.008963B8           ;  frmmain
008961E5  |.  E8 129A0200   call    TSMedPF_.008BFBFC
008961EA  |.  FF75 CC       push    dword ptr [ebp-34]
008961ED  |.  68 C8638900   push    TSMedPF_.008963C8                ;  \n
008961F2  |.  8B03          mov     eax, dword ptr [ebx]
008961F4  |.  8B40 24       mov     eax, dword ptr [eax+24]
008961F7  |.  FFB0 C4040000 push    dword ptr [eax+4C4]
008961FD  |.  8D45 D0       lea     eax, dword ptr [ebp-30]
00896200  |.  BA 03000000   mov     edx, 3
00896205  |.  E8 66E3B6FF   call    TSMedPF_.00404570
0089620A  |.  8B45 D0       mov     eax, dword ptr [ebp-30]
0089620D  |.  BA 88130000   mov     edx, 1388
00896212  |.  E8 3928D5FF   call    TSMedPF_.005E8A50
00896217  |.  E9 E5000000   jmp     TSMedPF_.00896301
0089621C  |>  8D55 C8       lea     edx, dword ptr [ebp-38]

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・1

免费・0

支持

最新回复 (2)
1key 雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	1key 2 楼接上部代码，并且就在下面这代出现了“产品未注册，请注册的消息”，但爆破后在使用时并未出现这个提示，所以猜想可能需要某个条件才能触发。尝试过把系统时间调到1年以后，也没有提示。 0089621C \|> \8D55 C8 lea edx, dword ptr [ebp-38] 0089621F \|. 8B03 mov eax, dword ptr [ebx] 00896221 \|. 8B40 24 mov eax, dword ptr [eax+24] 00896224 \|. E8 87AF0200 call TSMedPF_.008C11B0 00896229 \|. 8B45 C8 mov eax, dword ptr [ebp-38] 0089622C \|. 8B57 08 mov edx, dword ptr [edi+8] 0089622F \|. E8 8CE3B6FF call TSMedPF_.004045C0 00896234 \|. 8B03 mov eax, dword ptr [ebx] 00896236 \|. 8B70 24 mov esi, dword ptr [eax+24] 00896239 \|. 80BE AE040000>cmp byte ptr [esi+4AE], 1 00896240 \|. 75 36 jnz short TSMedPF_.00896278 00896242 \|. 8BC6 mov eax, esi 00896244 \|. E8 CFAF0200 call TSMedPF_.008C1218 00896249 \|. 66:85C0 test ax, ax 0089624C \|. 76 2A jbe short TSMedPF_.00896278 0089624E \|. 8B03 mov eax, dword ptr [ebx] 00896250 \|. 8B40 24 mov eax, dword ptr [eax+24] 00896253 \|. E8 C0AF0200 call TSMedPF_.008C1218 00896258 \|. 0FB7C0 movzx eax, ax 0089625B \|. 50 push eax 0089625C \|. 6A 00 push 0 0089625E \|. 68 FE0C0000 push 0CFE 00896263 \|. A1 382F8E00 mov eax, dword ptr [8E2F38] 00896268 \|. 8B00 mov eax, dword ptr [eax] 0089626A \|. 8B40 38 mov eax, dword ptr [eax+38] 0089626D \|. E8 B6D6BAFF call TSMedPF_.00443928 00896272 \|. 50 push eax ; \|hWnd 00896273 \|. E8 6834B7FF call <jmp.&user32.PostMessageA> ; \PostMessageA 00896278 \|> 8B03 /mov eax, dword ptr [ebx] 0089627A \|. 8B40 24 \|mov eax, dword ptr [eax+24] 0089627D \|. B1 01 \|mov cl, 1 0089627F \|. BA D4638900 \|mov edx, TSMedPF_.008963D4 ; {910770de-f4ea-4f8c-90d6-e28d78d5afd2} 00896284 \|. E8 EBAF0200 \|call TSMedPF_.008C1274 //请问这里是关键CALL吗？ 00896289 \|. 83F8 FE \|cmp eax, -2 ; Switch (cases FFFFFFFE..FFFFFFFF) 0089628C \|. 75 52 \|jnz short TSMedPF_.008962E0 0089628E \|. B8 04648900 \|mov eax, TSMedPF_.00896404 ; 产品已过期,是否现在注册？; Case FFFFFFFE of switch 00896289 00896293 \|. E8 7428D5FF \|call TSMedPF_.005E8B0C 00896298 \|. 83F8 06 \|cmp eax, 6 0089629B \|. 75 2B \|jnz short TSMedPF_.008962C8 0089629D \|. BA D4638900 \|mov edx, TSMedPF_.008963D4 ; {910770de-f4ea-4f8c-90d6-e28d78d5afd2} 008962A2 \|. 8B03 \|mov eax, dword ptr [ebx] 008962A4 \|. 8B40 24 \|mov eax, dword ptr [eax+24] 008962A7 \|. E8 B0B00200 \|call TSMedPF_.008C135C 008962AC \|. 84C0 \|test al, al 008962AE \|.^ 75 C8 \jnz short TSMedPF_.00896278 008962B0 \|. 8B03 mov eax, dword ptr [ebx] 008962B2 \|. 8B40 24 mov eax, dword ptr [eax+24] 008962B5 \|. E8 16A20200 call TSMedPF_.008C04D0 008962BA \|. A1 382F8E00 mov eax, dword ptr [8E2F38] 008962BF \|. 8B00 mov eax, dword ptr [eax] 008962C1 \|. E8 9A74BCFF call TSMedPF_.0045D760 008962C6 \|. EB 39 jmp short TSMedPF_.00896301 008962C8 \|> 8B03 mov eax, dword ptr [ebx] 008962CA \|. 8B40 24 mov eax, dword ptr [eax+24] 008962CD \|. E8 FEA10200 call TSMedPF_.008C04D0 008962D2 \|. A1 382F8E00 mov eax, dword ptr [8E2F38] 008962D7 \|. 8B00 mov eax, dword ptr [eax] 008962D9 \|. E8 8274BCFF call TSMedPF_.0045D760 008962DE \|. EB 21 jmp short TSMedPF_.00896301 008962E0 \|> 40 inc eax 008962E1 \|. 75 1E jnz short TSMedPF_.00896301 008962E3 \|. B8 28648900 mov eax, TSMedPF_.00896428 ; Case FFFFFFFF of switch 00896289 008962E8 \|. E8 1F28D5FF call TSMedPF_.005E8B0C 008962ED \|. 83F8 06 cmp eax, 6 008962F0 \|. 75 0F jnz short TSMedPF_.00896301 008962F2 \|. BA D4638900 mov edx, TSMedPF_.008963D4 ; ASCII "{910770DE-F4EA-4F8C-90D6-E28D78D5AFD2}" 008962F7 \|. 8B03 mov eax, dword ptr [ebx] 008962F9 \|. 8B40 24 mov eax, dword ptr [eax+24] 008962FC \|. E8 5BB00200 call TSMedPF_.008C135C 00896301 \|> 33C0 xor eax, eax ; Default case of switch 00896289 00896303 \|. 5A pop edx 00896304 \|. 59 pop ecx 00896305 \|. 59 pop ecx 00896306 \|. 64:8910 mov dword ptr fs:[eax], edx 00896309 \|. 68 23638900 push TSMedPF_.00896323 0089630E \|> 8D45 C8 lea eax, dword ptr [ebp-38] 00896311 \|. BA 0E000000 mov edx, 0E 00896316 \|. E8 39DFB6FF call TSMedPF_.00404254 0089631B \. C3 retn 0089631C .^ E9 47D8B6FF jmp TSMedPF_.00403B68 00896321 .^ EB EB jmp short TSMedPF_.0089630E 00896323 . 5F pop edi 00896324 . 5E pop esi 00896325 . 5B pop ebx 00896326 . 8BE5 mov esp, ebp 2008-8-22 09:09 0
1key 雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	1key 3 楼 2、从0089628E \|. B8 04648900 \|mov eax, TSMedPF_.00896404跟进后，出现了“checkregistinfo","registerproduct","showregistinfo"字段，可悟了几天都没出个啥结果，望兄弟们能指点一下。请问这里是怎样触发的？有什么样的限制？ 008C1274 /$ 55 push ebp 008C1275 \|. 8BEC mov ebp, esp 008C1277 \|. 83C4 F4 add esp, -0C 008C127A \|. 53 push ebx 008C127B \|. 56 push esi 008C127C \|. 57 push edi 008C127D \|. 33DB xor ebx, ebx 008C127F \|. 895D F4 mov dword ptr [ebp-C], ebx 008C1282 \|. 884D FB mov byte ptr [ebp-5], cl 008C1285 \|. 8955 FC mov dword ptr [ebp-4], edx 008C1288 \|. 8BD8 mov ebx, eax 008C128A \|. 8B45 FC mov eax, dword ptr [ebp-4] 008C128D \|. E8 D233B4FF call TSMedPF_.00404664 008C1292 \|. 33C0 xor eax, eax 008C1294 \|. 55 push ebp 008C1295 \|. 68 3B138C00 push TSMedPF_.008C133B 008C129A \|. 64:FF30 push dword ptr fs:[eax] 008C129D \|. 64:8920 mov dword ptr fs:[eax], esp 008C12A0 \|. BE FEFFFFFF mov esi, -2 008C12A5 \|. 83BB D4040000>cmp dword ptr [ebx+4D4], 0 008C12AC \|. 74 0F je short TSMedPF_.008C12BD 008C12AE \|. 83BB D0040000>cmp dword ptr [ebx+4D0], 0 008C12B5 \|. 74 06 je short TSMedPF_.008C12BD 008C12B7 \|. 837D FC 00 cmp dword ptr [ebp-4], 0 008C12BB \|. 75 07 jnz short TSMedPF_.008C12C4 008C12BD \|> BE F6FFFFFF mov esi, -0A 008C12C2 \|. EB 59 jmp short TSMedPF_.008C131D 008C12C4 \|> A1 3C2E8E00 mov eax, dword ptr [8E2E3C] 008C12C9 \|. 8338 00 cmp dword ptr [eax], 0 008C12CC \|. 76 4F jbe short TSMedPF_.008C131D 008C12CE \|. 68 4C138C00 push TSMedPF_.008C134C ; /checkregistinfo 008C12D3 \|. A1 3C2E8E00 mov eax, dword ptr [8E2E3C] ; \| 008C12D8 \|. 8B00 mov eax, dword ptr [eax] ; \| 008C12DA \|. 50 push eax ; \|hModule 008C12DB \|. E8 107AB4FF call <jmp.&kernel32.GetProcAddress> ; \GetProcAddress 008C12E0 \|. 89C7 mov edi, eax 008C12E2 \|. 85FF test edi, edi 008C12E4 \|. 74 37 je short TSMedPF_.008C131D 008C12E6 \|. 8A45 FB mov al, byte ptr [ebp-5] 008C12E9 \|. 50 push eax 008C12EA \|. 8D55 F4 lea edx, dword ptr [ebp-C] 008C12ED \|. A1 382F8E00 mov eax, dword ptr [8E2F38] 008C12F2 \|. 8B00 mov eax, dword ptr [eax] 008C12F4 \|. E8 7BC8B9FF call TSMedPF_.0045DB74 008C12F9 \|. 8B45 F4 mov eax, dword ptr [ebp-C] 008C12FC \|. 50 push eax 008C12FD \|. 8B45 FC mov eax, dword ptr [ebp-4] 008C1300 \|. 50 push eax 008C1301 \|. 8B83 D0040000 mov eax, dword ptr [ebx+4D0] 008C1307 \|. 50 push eax 008C1308 \|. 8B83 D4040000 mov eax, dword ptr [ebx+4D4] 008C130E \|. 50 push eax 008C130F \|. FFD7 call edi 008C1311 \|. 8BF0 mov esi, eax 008C1313 \|. 85F6 test esi, esi 008C1315 \|. A1 E82D8E00 mov eax, dword ptr [8E2DE8] 008C131A \|. 0F9500 setne byte ptr [eax] 008C131D \|> 33C0 xor eax, eax 008C131F \|. 5A pop edx 008C1320 \|. 59 pop ecx 008C1321 \|. 59 pop ecx 008C1322 \|. 64:8910 mov dword ptr fs:[eax], edx 008C1325 \|. 68 42138C00 push TSMedPF_.008C1342 008C132A \|> 8D45 F4 lea eax, dword ptr [ebp-C] 008C132D \|. E8 FE2EB4FF call TSMedPF_.00404230 008C1332 \|. 8D45 FC lea eax, dword ptr [ebp-4] 008C1335 \|. E8 F62EB4FF call TSMedPF_.00404230 008C133A \. C3 retn 008C133B .^ E9 2828B4FF jmp TSMedPF_.00403B68 008C1340 .^ EB E8 jmp short TSMedPF_.008C132A 008C1342 . 8BC6 mov eax, esi 008C1344 . 5F pop edi 008C1345 . 5E pop esi 008C1346 . 5B pop ebx 008C1347 . 8BE5 mov esp, ebp 008C1349 . 5D pop ebp 008C134A . C3 retn 008C134B 00 db 00 008C134C . 43 68 65 63 6>ascii "CheckRegistInfo",0 008C135C /$ 55 push ebp 008C135D \|. 8BEC mov ebp, esp 008C135F \|. 83C4 F8 add esp, -8 008C1362 \|. 53 push ebx 008C1363 \|. 56 push esi 008C1364 \|. 57 push edi 008C1365 \|. 33C9 xor ecx, ecx 008C1367 \|. 894D F8 mov dword ptr [ebp-8], ecx 008C136A \|. 8955 FC mov dword ptr [ebp-4], edx 008C136D \|. 8BF8 mov edi, eax 008C136F \|. 8B45 FC mov eax, dword ptr [ebp-4] 008C1372 \|. E8 ED32B4FF call TSMedPF_.00404664 008C1377 \|. 33C0 xor eax, eax 008C1379 \|. 55 push ebp 008C137A \|. 68 05148C00 push TSMedPF_.008C1405 008C137F \|. 64:FF30 push dword ptr fs:[eax] 008C1382 \|. 64:8920 mov dword ptr fs:[eax], esp 008C1385 \|. 33DB xor ebx, ebx 008C1387 \|. 83BF D4040000>cmp dword ptr [edi+4D4], 0 008C138E \|. 74 5A je short TSMedPF_.008C13EA 008C1390 \|. 83BF D0040000>cmp dword ptr [edi+4D0], 0 008C1397 \|. 74 51 je short TSMedPF_.008C13EA 008C1399 \|. 837D FC 00 cmp dword ptr [ebp-4], 0 008C139D \|. 74 4B je short TSMedPF_.008C13EA 008C139F \|. A1 3C2E8E00 mov eax, dword ptr [8E2E3C] 008C13A4 \|. 8338 00 cmp dword ptr [eax], 0 008C13A7 \|. 74 41 je short TSMedPF_.008C13EA 008C13A9 \|. 68 18148C00 push TSMedPF_.008C1418 ; /registerproduct 008C13AE \|. A1 3C2E8E00 mov eax, dword ptr [8E2E3C] ; \| 008C13B3 \|. 8B00 mov eax, dword ptr [eax] ; \| 008C13B5 \|. 50 push eax ; \|hModule 008C13B6 \|. E8 3579B4FF call <jmp.&kernel32.GetProcAddress> ; \GetProcAddress 008C13BB \|. 89C6 mov esi, eax 008C13BD \|. 85F6 test esi, esi 008C13BF \|. 74 29 je short TSMedPF_.008C13EA 008C13C1 \|. 8D55 F8 lea edx, dword ptr [ebp-8] 008C13C4 \|. A1 382F8E00 mov eax, dword ptr [8E2F38] 008C13C9 \|. 8B00 mov eax, dword ptr [eax] 008C13CB \|. E8 A4C7B9FF call TSMedPF_.0045DB74 008C13D0 \|. 8B45 F8 mov eax, dword ptr [ebp-8] 008C13D3 \|. 50 push eax 008C13D4 \|. 8B45 FC mov eax, dword ptr [ebp-4] 008C13D7 \|. 50 push eax 008C13D8 \|. 8B87 D0040000 mov eax, dword ptr [edi+4D0] 008C13DE \|. 50 push eax 008C13DF \|. 8B87 D4040000 mov eax, dword ptr [edi+4D4] 008C13E5 \|. 50 push eax 008C13E6 \|. FFD6 call esi 008C13E8 \|. 8BD8 mov ebx, eax 008C13EA \|> 33C0 xor eax, eax 008C13EC \|. 5A pop edx 008C13ED \|. 59 pop ecx 008C13EE \|. 59 pop ecx 008C13EF \|. 64:8910 mov dword ptr fs:[eax], edx 008C13F2 \|. 68 0C148C00 push TSMedPF_.008C140C 008C13F7 \|> 8D45 F8 lea eax, dword ptr [ebp-8] 008C13FA \|. BA 02000000 mov edx, 2 008C13FF \|. E8 502EB4FF call TSMedPF_.00404254 008C1404 \. C3 retn 008C1405 .^ E9 5E27B4FF jmp TSMedPF_.00403B68 008C140A .^ EB EB jmp short TSMedPF_.008C13F7 008C140C . 8BC3 mov eax, ebx 008C140E . 5F pop edi 008C140F . 5E pop esi 008C1410 . 5B pop ebx 008C1411 . 59 pop ecx 008C1412 . 59 pop ecx 008C1413 . 5D pop ebp 008C1414 . C3 retn 008C1415 00 db 00 008C1416 00 db 00 008C1417 00 db 00 008C1418 . 52 65 67 69 7>ascii "RegisterProduct",0 008C1428 /$ 55 push ebp 008C1429 \|. 8BEC mov ebp, esp 008C142B \|. 83C4 F8 add esp, -8 008C142E \|. 53 push ebx 008C142F \|. 56 push esi 008C1430 \|. 57 push edi 008C1431 \|. 33C9 xor ecx, ecx 008C1433 \|. 894D F8 mov dword ptr [ebp-8], ecx 008C1436 \|. 8955 FC mov dword ptr [ebp-4], edx 008C1439 \|. 8BF8 mov edi, eax 008C143B \|. 8B45 FC mov eax, dword ptr [ebp-4] 008C143E \|. E8 2132B4FF call TSMedPF_.00404664 008C1443 \|. 33C0 xor eax, eax 008C1445 \|. 55 push ebp 008C1446 \|. 68 D1148C00 push TSMedPF_.008C14D1 008C144B \|. 64:FF30 push dword ptr fs:[eax] 008C144E \|. 64:8920 mov dword ptr fs:[eax], esp 008C1451 \|. 33DB xor ebx, ebx 008C1453 \|. 83BF D4040000>cmp dword ptr [edi+4D4], 0 008C145A \|. 74 5A je short TSMedPF_.008C14B6 008C145C \|. 83BF D0040000>cmp dword ptr [edi+4D0], 0 008C1463 \|. 74 51 je short TSMedPF_.008C14B6 008C1465 \|. 837D FC 00 cmp dword ptr [ebp-4], 0 008C1469 \|. 74 4B je short TSMedPF_.008C14B6 008C146B \|. A1 3C2E8E00 mov eax, dword ptr [8E2E3C] 008C1470 \|. 8338 00 cmp dword ptr [eax], 0 008C1473 \|. 74 41 je short TSMedPF_.008C14B6 008C1475 \|. 68 E4148C00 push TSMedPF_.008C14E4 ; /showregistinfo 008C147A \|. A1 3C2E8E00 mov eax, dword ptr [8E2E3C] ; \| 008C147F \|. 8B00 mov eax, dword ptr [eax] ; \| 008C1481 \|. 50 push eax ; \|hModule 008C1482 \|. E8 6978B4FF call <jmp.&kernel32.GetProcAddress> ; \GetProcAddress 008C1487 \|. 89C6 mov esi, eax 008C1489 \|. 85F6 test esi, esi 008C148B \|. 74 29 je short TSMedPF_.008C14B6 008C148D \|. 8D55 F8 lea edx, dword ptr [ebp-8] 008C1490 \|. A1 382F8E00 mov eax, dword ptr [8E2F38] 008C1495 \|. 8B00 mov eax, dword ptr [eax] 008C1497 \|. E8 D8C6B9FF call TSMedPF_.0045DB74 008C149C \|. 8B45 F8 mov eax, dword ptr [ebp-8] 008C149F \|. 50 push eax 008C14A0 \|. 8B45 FC mov eax, dword ptr [ebp-4] 008C14A3 \|. 50 push eax 008C14A4 \|. 8B87 D0040000 mov eax, dword ptr [edi+4D0] 008C14AA \|. 50 push eax 008C14AB \|. 8B87 D4040000 mov eax, dword ptr [edi+4D4] 008C14B1 \|. 50 push eax 008C14B2 \|. FFD6 call esi 008C14B4 \|. 8BD8 mov ebx, eax 008C14B6 \|> 33C0 xor eax, eax 008C14B8 \|. 5A pop edx 008C14B9 \|. 59 pop ecx 008C14BA \|. 59 pop ecx 008C14BB \|. 64:8910 mov dword ptr fs:[eax], edx 008C14BE \|. 68 D8148C00 push TSMedPF_.008C14D8 008C14C3 \|> 8D45 F8 lea eax, dword ptr [ebp-8] 008C14C6 \|. BA 02000000 mov edx, 2 008C14CB \|. E8 842DB4FF call TSMedPF_.00404254 008C14D0 \. C3 retn 008C14D1 .^ E9 9226B4FF jmp TSMedPF_.00403B68 008C14D6 .^ EB EB jmp short TSMedPF_.008C14C3 008C14D8 . 8BC3 mov eax, ebx 008C14DA . 5F pop edi 008C14DB . 5E pop esi 008C14DC . 5B pop ebx 008C14DD . 59 pop ecx 008C14DE . 59 pop ecx 008C14DF . 5D pop ebp 008C14E0 . C3 retn 008C14E1 00 db 00 008C14E2 00 db 00 008C14E3 00 db 00 008C14E4 . 53 68 6F 77 5>ascii "ShowRegistInfo",0 008C14F3 00 db 00 008C14F4 . 55 push ebp 008C14F5 . 8BEC mov ebp, esp 008C14F7 . 33C0 xor eax, eax 008C14F9 . 55 push ebp 008C14FA . 68 78158C00 push TSMedPF_.008C1578 008C14FF . 64:FF30 push dword ptr fs:[eax] 008C1502 . 64:8920 mov dword ptr fs:[eax], esp 008C1505 . FF05 D4DC9100 inc dword ptr [91DCD4] 008C150B . 75 5D jnz short TSMedPF_.008C156A 008C150D . B8 AC268E00 mov eax, TSMedPF_.008E26AC 008C1512 . E8 192DB4FF call TSMedPF_.00404230 008C1517 . B8 A8268E00 mov eax, TSMedPF_.008E26A8 008C151C . E8 0F2DB4FF call TSMedPF_.00404230 008C1521 . B8 A4268E00 mov eax, TSMedPF_.008E26A4 008C1526 . E8 052DB4FF call TSMedPF_.00404230 008C152B . B8 88268E00 mov eax, TSMedPF_.008E2688 008C1530 . B9 02000000 mov ecx, 2 008C1535 . 8B15 34114000 mov edx, dword ptr [401134] ; TSMedPF_.00401138 008C153B . E8 2438B4FF call TSMedPF_.00404D64 008C1540 . B8 5C268E00 mov eax, TSMedPF_.008E265C 008C1545 . B9 0B000000 mov ecx, 0B 008C154A . 8B15 34114000 mov edx, dword ptr [401134] ; TSMedPF_.00401138 008C1550 . E8 0F38B4FF call TSMedPF_.00404D64 008C1555 . B8 54268E00 mov eax, TSMedPF_.008E2654 008C155A . B9 02000000 mov ecx, 2 008C155F . 8B15 34114000 mov edx, dword ptr [401134] ; TSMedPF_.00401138 008C1565 . E8 FA37B4FF call TSMedPF_.00404D64 008C156A > 33C0 xor eax, eax 2008-8-22 09:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (2)

1key

雪币： 194

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

私信

1key: 2 楼

接上部代码，并且就在下面这代出现了“产品未注册，请注册的消息”，但爆破后在使用时并未出现这个提示，所以猜想可能需要某个条件才能触发。尝试过把系统时间调到1年以后，也没有提示。

0089621C  |> \8D55 C8       lea     edx, dword ptr [ebp-38]
0089621F  |.  8B03          mov     eax, dword ptr [ebx]
00896221  |.  8B40 24       mov     eax, dword ptr [eax+24]
00896224  |.  E8 87AF0200   call    TSMedPF_.008C11B0
00896229  |.  8B45 C8       mov     eax, dword ptr [ebp-38]
0089622C  |.  8B57 08       mov     edx, dword ptr [edi+8]
0089622F  |.  E8 8CE3B6FF   call    TSMedPF_.004045C0
00896234  |.  8B03          mov     eax, dword ptr [ebx]
00896236  |.  8B70 24       mov     esi, dword ptr [eax+24]
00896239  |.  80BE AE040000>cmp     byte ptr [esi+4AE], 1
00896240  |.  75 36         jnz     short TSMedPF_.00896278
00896242  |.  8BC6          mov     eax, esi
00896244  |.  E8 CFAF0200   call    TSMedPF_.008C1218
00896249  |.  66:85C0       test    ax, ax
0089624C  |.  76 2A         jbe     short TSMedPF_.00896278
0089624E  |.  8B03          mov     eax, dword ptr [ebx]
00896250  |.  8B40 24       mov     eax, dword ptr [eax+24]
00896253  |.  E8 C0AF0200   call    TSMedPF_.008C1218
00896258  |.  0FB7C0        movzx   eax, ax
0089625B  |.  50            push    eax
0089625C  |.  6A 00         push    0
0089625E  |.  68 FE0C0000   push    0CFE
00896263  |.  A1 382F8E00   mov     eax, dword ptr [8E2F38]
00896268  |.  8B00          mov     eax, dword ptr [eax]
0089626A  |.  8B40 38       mov     eax, dword ptr [eax+38]
0089626D  |.  E8 B6D6BAFF   call    TSMedPF_.00443928
00896272  |.  50            push    eax                              ; |hWnd
00896273  |.  E8 6834B7FF   call    <jmp.&user32.PostMessageA>       ; \PostMessageA
00896278  |>  8B03          /mov     eax, dword ptr [ebx]
0089627A  |.  8B40 24       |mov     eax, dword ptr [eax+24]
0089627D  |.  B1 01         |mov     cl, 1
0089627F  |.  BA D4638900   |mov     edx, TSMedPF_.008963D4          ;  {910770de-f4ea-4f8c-90d6-e28d78d5afd2}
00896284  |.  E8 EBAF0200   |call    TSMedPF_.008C1274        //请问这里是关键CALL吗？
00896289  |.  83F8 FE       |cmp     eax, -2                         ;  Switch (cases FFFFFFFE..FFFFFFFF)
0089628C  |.  75 52         |jnz     short TSMedPF_.008962E0
0089628E  |.  B8 04648900   |mov     eax, TSMedPF_.00896404          ;  产品已过期,是否现在注册？; Case FFFFFFFE of switch 00896289
00896293  |.  E8 7428D5FF   |call    TSMedPF_.005E8B0C
00896298  |.  83F8 06       |cmp     eax, 6
0089629B  |.  75 2B         |jnz     short TSMedPF_.008962C8
0089629D  |.  BA D4638900   |mov     edx, TSMedPF_.008963D4          ;  {910770de-f4ea-4f8c-90d6-e28d78d5afd2}
008962A2  |.  8B03          |mov     eax, dword ptr [ebx]
008962A4  |.  8B40 24       |mov     eax, dword ptr [eax+24]
008962A7  |.  E8 B0B00200   |call    TSMedPF_.008C135C
008962AC  |.  84C0          |test    al, al
008962AE  |.^ 75 C8         \jnz     short TSMedPF_.00896278
008962B0  |.  8B03          mov     eax, dword ptr [ebx]
008962B2  |.  8B40 24       mov     eax, dword ptr [eax+24]
008962B5  |.  E8 16A20200   call    TSMedPF_.008C04D0
008962BA  |.  A1 382F8E00   mov     eax, dword ptr [8E2F38]
008962BF  |.  8B00          mov     eax, dword ptr [eax]
008962C1  |.  E8 9A74BCFF   call    TSMedPF_.0045D760
008962C6  |.  EB 39         jmp     short TSMedPF_.00896301
008962C8  |>  8B03          mov     eax, dword ptr [ebx]
008962CA  |.  8B40 24       mov     eax, dword ptr [eax+24]
008962CD  |.  E8 FEA10200   call    TSMedPF_.008C04D0
008962D2  |.  A1 382F8E00   mov     eax, dword ptr [8E2F38]
008962D7  |.  8B00          mov     eax, dword ptr [eax]
008962D9  |.  E8 8274BCFF   call    TSMedPF_.0045D760
008962DE  |.  EB 21         jmp     short TSMedPF_.00896301
008962E0  |>  40            inc     eax
008962E1  |.  75 1E         jnz     short TSMedPF_.00896301
008962E3  |.  B8 28648900   mov     eax, TSMedPF_.00896428           ;  Case FFFFFFFF of switch 00896289
008962E8  |.  E8 1F28D5FF   call    TSMedPF_.005E8B0C
008962ED  |.  83F8 06       cmp     eax, 6
008962F0  |.  75 0F         jnz     short TSMedPF_.00896301
008962F2  |.  BA D4638900   mov     edx, TSMedPF_.008963D4           ;  ASCII "{910770DE-F4EA-4F8C-90D6-E28D78D5AFD2}"
008962F7  |.  8B03          mov     eax, dword ptr [ebx]
008962F9  |.  8B40 24       mov     eax, dword ptr [eax+24]
008962FC  |.  E8 5BB00200   call    TSMedPF_.008C135C
00896301  |>  33C0          xor     eax, eax                         ;  Default case of switch 00896289
00896303  |.  5A            pop     edx
00896304  |.  59            pop     ecx
00896305  |.  59            pop     ecx
00896306  |.  64:8910       mov     dword ptr fs:[eax], edx
00896309  |.  68 23638900   push    TSMedPF_.00896323
0089630E  |>  8D45 C8       lea     eax, dword ptr [ebp-38]
00896311  |.  BA 0E000000   mov     edx, 0E
00896316  |.  E8 39DFB6FF   call    TSMedPF_.00404254
0089631B  \.  C3            retn
0089631C   .^ E9 47D8B6FF   jmp     TSMedPF_.00403B68
00896321   .^ EB EB         jmp     short TSMedPF_.0089630E
00896323   .  5F            pop     edi
00896324   .  5E            pop     esi
00896325   .  5B            pop     ebx
00896326   .  8BE5          mov     esp, ebp

2008-8-22 09:09

1key

雪币： 194

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

私信

1key: 3 楼

2、从0089628E |. B8 04648900 |mov eax, TSMedPF_.00896404跟进后，出现了“checkregistinfo","registerproduct","showregistinfo"字段，可悟了几天都没出个啥结果，望兄弟们能指点一下。

请问这里是怎样触发的？有什么样的限制？

008C1274  /$  55            push    ebp
008C1275  |.  8BEC          mov     ebp, esp
008C1277  |.  83C4 F4       add     esp, -0C
008C127A  |.  53            push    ebx
008C127B  |.  56            push    esi
008C127C  |.  57            push    edi
008C127D  |.  33DB          xor     ebx, ebx
008C127F  |.  895D F4       mov     dword ptr [ebp-C], ebx
008C1282  |.  884D FB       mov     byte ptr [ebp-5], cl
008C1285  |.  8955 FC       mov     dword ptr [ebp-4], edx
008C1288  |.  8BD8          mov     ebx, eax
008C128A  |.  8B45 FC       mov     eax, dword ptr [ebp-4]
008C128D  |.  E8 D233B4FF   call    TSMedPF_.00404664
008C1292  |.  33C0          xor     eax, eax
008C1294  |.  55            push    ebp
008C1295  |.  68 3B138C00   push    TSMedPF_.008C133B
008C129A  |.  64:FF30       push    dword ptr fs:[eax]
008C129D  |.  64:8920       mov     dword ptr fs:[eax], esp
008C12A0  |.  BE FEFFFFFF   mov     esi, -2
008C12A5  |.  83BB D4040000>cmp     dword ptr [ebx+4D4], 0
008C12AC  |.  74 0F         je      short TSMedPF_.008C12BD
008C12AE  |.  83BB D0040000>cmp     dword ptr [ebx+4D0], 0
008C12B5  |.  74 06         je      short TSMedPF_.008C12BD
008C12B7  |.  837D FC 00    cmp     dword ptr [ebp-4], 0
008C12BB  |.  75 07         jnz     short TSMedPF_.008C12C4
008C12BD  |>  BE F6FFFFFF   mov     esi, -0A
008C12C2  |.  EB 59         jmp     short TSMedPF_.008C131D
008C12C4  |>  A1 3C2E8E00   mov     eax, dword ptr [8E2E3C]
008C12C9  |.  8338 00       cmp     dword ptr [eax], 0
008C12CC  |.  76 4F         jbe     short TSMedPF_.008C131D
008C12CE  |.  68 4C138C00   push    TSMedPF_.008C134C                ; /checkregistinfo
008C12D3  |.  A1 3C2E8E00   mov     eax, dword ptr [8E2E3C]          ; |
008C12D8  |.  8B00          mov     eax, dword ptr [eax]             ; |
008C12DA  |.  50            push    eax                              ; |hModule
008C12DB  |.  E8 107AB4FF   call    <jmp.&kernel32.GetProcAddress>   ; \GetProcAddress
008C12E0  |.  89C7          mov     edi, eax
008C12E2  |.  85FF          test    edi, edi
008C12E4  |.  74 37         je      short TSMedPF_.008C131D
008C12E6  |.  8A45 FB       mov     al, byte ptr [ebp-5]
008C12E9  |.  50            push    eax
008C12EA  |.  8D55 F4       lea     edx, dword ptr [ebp-C]
008C12ED  |.  A1 382F8E00   mov     eax, dword ptr [8E2F38]
008C12F2  |.  8B00          mov     eax, dword ptr [eax]
008C12F4  |.  E8 7BC8B9FF   call    TSMedPF_.0045DB74
008C12F9  |.  8B45 F4       mov     eax, dword ptr [ebp-C]
008C12FC  |.  50            push    eax
008C12FD  |.  8B45 FC       mov     eax, dword ptr [ebp-4]
008C1300  |.  50            push    eax
008C1301  |.  8B83 D0040000 mov     eax, dword ptr [ebx+4D0]
008C1307  |.  50            push    eax
008C1308  |.  8B83 D4040000 mov     eax, dword ptr [ebx+4D4]
008C130E  |.  50            push    eax
008C130F  |.  FFD7          call    edi
008C1311  |.  8BF0          mov     esi, eax
008C1313  |.  85F6          test    esi, esi
008C1315  |.  A1 E82D8E00   mov     eax, dword ptr [8E2DE8]
008C131A  |.  0F9500        setne   byte ptr [eax]
008C131D  |>  33C0          xor     eax, eax
008C131F  |.  5A            pop     edx
008C1320  |.  59            pop     ecx
008C1321  |.  59            pop     ecx
008C1322  |.  64:8910       mov     dword ptr fs:[eax], edx
008C1325  |.  68 42138C00   push    TSMedPF_.008C1342
008C132A  |>  8D45 F4       lea     eax, dword ptr [ebp-C]
008C132D  |.  E8 FE2EB4FF   call    TSMedPF_.00404230
008C1332  |.  8D45 FC       lea     eax, dword ptr [ebp-4]
008C1335  |.  E8 F62EB4FF   call    TSMedPF_.00404230
008C133A  \.  C3            retn
008C133B   .^ E9 2828B4FF   jmp     TSMedPF_.00403B68
008C1340   .^ EB E8         jmp     short TSMedPF_.008C132A
008C1342   .  8BC6          mov     eax, esi
008C1344   .  5F            pop     edi
008C1345   .  5E            pop     esi
008C1346   .  5B            pop     ebx
008C1347   .  8BE5          mov     esp, ebp
008C1349   .  5D            pop     ebp
008C134A   .  C3            retn
008C134B      00            db      00
008C134C   .  43 68 65 63 6>ascii   "CheckRegistInfo",0
008C135C  /$  55            push    ebp
008C135D  |.  8BEC          mov     ebp, esp
008C135F  |.  83C4 F8       add     esp, -8
008C1362  |.  53            push    ebx
008C1363  |.  56            push    esi
008C1364  |.  57            push    edi
008C1365  |.  33C9          xor     ecx, ecx
008C1367  |.  894D F8       mov     dword ptr [ebp-8], ecx
008C136A  |.  8955 FC       mov     dword ptr [ebp-4], edx
008C136D  |.  8BF8          mov     edi, eax
008C136F  |.  8B45 FC       mov     eax, dword ptr [ebp-4]
008C1372  |.  E8 ED32B4FF   call    TSMedPF_.00404664
008C1377  |.  33C0          xor     eax, eax
008C1379  |.  55            push    ebp
008C137A  |.  68 05148C00   push    TSMedPF_.008C1405
008C137F  |.  64:FF30       push    dword ptr fs:[eax]
008C1382  |.  64:8920       mov     dword ptr fs:[eax], esp
008C1385  |.  33DB          xor     ebx, ebx
008C1387  |.  83BF D4040000>cmp     dword ptr [edi+4D4], 0
008C138E  |.  74 5A         je      short TSMedPF_.008C13EA
008C1390  |.  83BF D0040000>cmp     dword ptr [edi+4D0], 0
008C1397  |.  74 51         je      short TSMedPF_.008C13EA
008C1399  |.  837D FC 00    cmp     dword ptr [ebp-4], 0
008C139D  |.  74 4B         je      short TSMedPF_.008C13EA
008C139F  |.  A1 3C2E8E00   mov     eax, dword ptr [8E2E3C]
008C13A4  |.  8338 00       cmp     dword ptr [eax], 0
008C13A7  |.  74 41         je      short TSMedPF_.008C13EA
008C13A9  |.  68 18148C00   push    TSMedPF_.008C1418                ; /registerproduct
008C13AE  |.  A1 3C2E8E00   mov     eax, dword ptr [8E2E3C]          ; |
008C13B3  |.  8B00          mov     eax, dword ptr [eax]             ; |
008C13B5  |.  50            push    eax                              ; |hModule
008C13B6  |.  E8 3579B4FF   call    <jmp.&kernel32.GetProcAddress>   ; \GetProcAddress
008C13BB  |.  89C6          mov     esi, eax
008C13BD  |.  85F6          test    esi, esi
008C13BF  |.  74 29         je      short TSMedPF_.008C13EA
008C13C1  |.  8D55 F8       lea     edx, dword ptr [ebp-8]
008C13C4  |.  A1 382F8E00   mov     eax, dword ptr [8E2F38]
008C13C9  |.  8B00          mov     eax, dword ptr [eax]
008C13CB  |.  E8 A4C7B9FF   call    TSMedPF_.0045DB74
008C13D0  |.  8B45 F8       mov     eax, dword ptr [ebp-8]
008C13D3  |.  50            push    eax
008C13D4  |.  8B45 FC       mov     eax, dword ptr [ebp-4]
008C13D7  |.  50            push    eax
008C13D8  |.  8B87 D0040000 mov     eax, dword ptr [edi+4D0]
008C13DE  |.  50            push    eax
008C13DF  |.  8B87 D4040000 mov     eax, dword ptr [edi+4D4]
008C13E5  |.  50            push    eax
008C13E6  |.  FFD6          call    esi
008C13E8  |.  8BD8          mov     ebx, eax
008C13EA  |>  33C0          xor     eax, eax
008C13EC  |.  5A            pop     edx
008C13ED  |.  59            pop     ecx
008C13EE  |.  59            pop     ecx
008C13EF  |.  64:8910       mov     dword ptr fs:[eax], edx
008C13F2  |.  68 0C148C00   push    TSMedPF_.008C140C
008C13F7  |>  8D45 F8       lea     eax, dword ptr [ebp-8]
008C13FA  |.  BA 02000000   mov     edx, 2
008C13FF  |.  E8 502EB4FF   call    TSMedPF_.00404254
008C1404  \.  C3            retn
008C1405   .^ E9 5E27B4FF   jmp     TSMedPF_.00403B68
008C140A   .^ EB EB         jmp     short TSMedPF_.008C13F7
008C140C   .  8BC3          mov     eax, ebx
008C140E   .  5F            pop     edi
008C140F   .  5E            pop     esi
008C1410   .  5B            pop     ebx
008C1411   .  59            pop     ecx
008C1412   .  59            pop     ecx
008C1413   .  5D            pop     ebp
008C1414   .  C3            retn
008C1415      00            db      00
008C1416      00            db      00
008C1417      00            db      00
008C1418   .  52 65 67 69 7>ascii   "RegisterProduct",0
008C1428  /$  55            push    ebp
008C1429  |.  8BEC          mov     ebp, esp
008C142B  |.  83C4 F8       add     esp, -8
008C142E  |.  53            push    ebx
008C142F  |.  56            push    esi
008C1430  |.  57            push    edi
008C1431  |.  33C9          xor     ecx, ecx
008C1433  |.  894D F8       mov     dword ptr [ebp-8], ecx
008C1436  |.  8955 FC       mov     dword ptr [ebp-4], edx
008C1439  |.  8BF8          mov     edi, eax
008C143B  |.  8B45 FC       mov     eax, dword ptr [ebp-4]
008C143E  |.  E8 2132B4FF   call    TSMedPF_.00404664
008C1443  |.  33C0          xor     eax, eax
008C1445  |.  55            push    ebp
008C1446  |.  68 D1148C00   push    TSMedPF_.008C14D1
008C144B  |.  64:FF30       push    dword ptr fs:[eax]
008C144E  |.  64:8920       mov     dword ptr fs:[eax], esp
008C1451  |.  33DB          xor     ebx, ebx
008C1453  |.  83BF D4040000>cmp     dword ptr [edi+4D4], 0
008C145A  |.  74 5A         je      short TSMedPF_.008C14B6
008C145C  |.  83BF D0040000>cmp     dword ptr [edi+4D0], 0
008C1463  |.  74 51         je      short TSMedPF_.008C14B6
008C1465  |.  837D FC 00    cmp     dword ptr [ebp-4], 0
008C1469  |.  74 4B         je      short TSMedPF_.008C14B6
008C146B  |.  A1 3C2E8E00   mov     eax, dword ptr [8E2E3C]
008C1470  |.  8338 00       cmp     dword ptr [eax], 0
008C1473  |.  74 41         je      short TSMedPF_.008C14B6
008C1475  |.  68 E4148C00   push    TSMedPF_.008C14E4                ; /showregistinfo
008C147A  |.  A1 3C2E8E00   mov     eax, dword ptr [8E2E3C]          ; |
008C147F  |.  8B00          mov     eax, dword ptr [eax]             ; |
008C1481  |.  50            push    eax                              ; |hModule
008C1482  |.  E8 6978B4FF   call    <jmp.&kernel32.GetProcAddress>   ; \GetProcAddress
008C1487  |.  89C6          mov     esi, eax
008C1489  |.  85F6          test    esi, esi
008C148B  |.  74 29         je      short TSMedPF_.008C14B6
008C148D  |.  8D55 F8       lea     edx, dword ptr [ebp-8]
008C1490  |.  A1 382F8E00   mov     eax, dword ptr [8E2F38]
008C1495  |.  8B00          mov     eax, dword ptr [eax]
008C1497  |.  E8 D8C6B9FF   call    TSMedPF_.0045DB74
008C149C  |.  8B45 F8       mov     eax, dword ptr [ebp-8]
008C149F  |.  50            push    eax
008C14A0  |.  8B45 FC       mov     eax, dword ptr [ebp-4]
008C14A3  |.  50            push    eax
008C14A4  |.  8B87 D0040000 mov     eax, dword ptr [edi+4D0]
008C14AA  |.  50            push    eax
008C14AB  |.  8B87 D4040000 mov     eax, dword ptr [edi+4D4]
008C14B1  |.  50            push    eax
008C14B2  |.  FFD6          call    esi
008C14B4  |.  8BD8          mov     ebx, eax
008C14B6  |>  33C0          xor     eax, eax
008C14B8  |.  5A            pop     edx
008C14B9  |.  59            pop     ecx
008C14BA  |.  59            pop     ecx
008C14BB  |.  64:8910       mov     dword ptr fs:[eax], edx
008C14BE  |.  68 D8148C00   push    TSMedPF_.008C14D8
008C14C3  |>  8D45 F8       lea     eax, dword ptr [ebp-8]
008C14C6  |.  BA 02000000   mov     edx, 2
008C14CB  |.  E8 842DB4FF   call    TSMedPF_.00404254
008C14D0  \.  C3            retn
008C14D1   .^ E9 9226B4FF   jmp     TSMedPF_.00403B68
008C14D6   .^ EB EB         jmp     short TSMedPF_.008C14C3
008C14D8   .  8BC3          mov     eax, ebx
008C14DA   .  5F            pop     edi
008C14DB   .  5E            pop     esi
008C14DC   .  5B            pop     ebx
008C14DD   .  59            pop     ecx
008C14DE   .  59            pop     ecx
008C14DF   .  5D            pop     ebp
008C14E0   .  C3            retn
008C14E1      00            db      00
008C14E2      00            db      00
008C14E3      00            db      00
008C14E4   .  53 68 6F 77 5>ascii   "ShowRegistInfo",0
008C14F3      00            db      00
008C14F4   .  55            push    ebp
008C14F5   .  8BEC          mov     ebp, esp
008C14F7   .  33C0          xor     eax, eax
008C14F9   .  55            push    ebp
008C14FA   .  68 78158C00   push    TSMedPF_.008C1578
008C14FF   .  64:FF30       push    dword ptr fs:[eax]
008C1502   .  64:8920       mov     dword ptr fs:[eax], esp
008C1505   .  FF05 D4DC9100 inc     dword ptr [91DCD4]
008C150B   .  75 5D         jnz     short TSMedPF_.008C156A
008C150D   .  B8 AC268E00   mov     eax, TSMedPF_.008E26AC
008C1512   .  E8 192DB4FF   call    TSMedPF_.00404230
008C1517   .  B8 A8268E00   mov     eax, TSMedPF_.008E26A8
008C151C   .  E8 0F2DB4FF   call    TSMedPF_.00404230
008C1521   .  B8 A4268E00   mov     eax, TSMedPF_.008E26A4
008C1526   .  E8 052DB4FF   call    TSMedPF_.00404230
008C152B   .  B8 88268E00   mov     eax, TSMedPF_.008E2688
008C1530   .  B9 02000000   mov     ecx, 2
008C1535   .  8B15 34114000 mov     edx, dword ptr [401134]          ;  TSMedPF_.00401138
008C153B   .  E8 2438B4FF   call    TSMedPF_.00404D64
008C1540   .  B8 5C268E00   mov     eax, TSMedPF_.008E265C
008C1545   .  B9 0B000000   mov     ecx, 0B
008C154A   .  8B15 34114000 mov     edx, dword ptr [401134]          ;  TSMedPF_.00401138
008C1550   .  E8 0F38B4FF   call    TSMedPF_.00404D64
008C1555   .  B8 54268E00   mov     eax, TSMedPF_.008E2654
008C155A   .  B9 02000000   mov     ecx, 2
008C155F   .  8B15 34114000 mov     edx, dword ptr [401134]          ;  TSMedPF_.00401138
008C1565   .  E8 FA37B4FF   call    TSMedPF_.00404D64
008C156A   >  33C0          xor     eax, eax

2008-8-22 09:17

1key

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号