能力值:
( LV12,RANK:650 )
|
-
-
2 楼
八成是地址
你看看对应的内存
|
能力值:
( LV4,RANK:50 )
|
-
-
3 楼
就是说edx,eax里放的不是注册码?
|
能力值:
(RANK:760 )
|
-
-
4 楼
一般来说,真假注册码会以push的形式入栈,传递参数给下面的
call,当然也有这种 mov 形式的,主要看olldby的提示
|
能力值:
( LV12,RANK:650 )
|
-
-
5 楼
你看他那数恰好相差$20嘛。特别明显
|
能力值:
( LV4,RANK:50 )
|
-
-
6 楼
[eax+0000000]放的是1983927,是真的注册码
[eax+0000014]放的是8211954,是我的假的注册码
[edx+0000000]放的是8211954
[edx-0000014]放的是1983927
注册码是知道了,但我还是不明白00d27760-00d27740=20能由此看出什么,能否详细解释一下。
|
能力值:
( LV9,RANK:1060 )
|
-
-
7 楼
明码比较时,真假注册码一般都摆放得比较靠近,多分析几个明码比较的软件,你也会得出这样的经验
――――――――――――――
小弟菜菜鸟,正在学习中
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
dword ptr[...]我看一般是内存地址。如果不研究算法做注册机,我觉得直接做个注册补丁就行了
|
能力值:
(RANK:20 )
|
-
-
9 楼
__fastcall的典型形式,用eax/edx传递参数,那个call肯定是个LStrCmp之类的函数,先用IDA识别了VCL的函数再看asm代码。
|
|
|