楼主太强了 我到脑筋急转弯那里我就没辙了 膜拜一下

看完LZ的分析后,感觉自己的基本功还是太差~~努力中

去掉反调试上 大约用了半小时 分析算法上 用了一个小时   最后怒之 Patch了一下机器码  用了半小时 一共两个小时

F-uCK 文件的效检：

DS:[0040119C]=7346E967 (MSVBVM60.rtcFileLen)

0040D852   .  FF91 30070000 CALL DWORD PTR DS:[ECX+730]
0040D858   .  8B45 E8       MOV EAX,DWORD PTR SS:[EBP-18]            ;  文件效检比较
0040D85B      8B4D E4       MOV ECX,DWORD PTR SS:[EBP-1C]

0040D883   .  66:3BFB       CMP DI,BX
0040D886   .  0F84 B8000000 JE 海狼三人.0040D944

Patch 机器码 ：

CALL在这里：

004086F4=海狼三人.004086F4 (UNICODE "NO-NAME-!!!!") 是这个定位　？

0040D2F9   .  FF15 5C104000   CALL DWORD PTR DS:[<&MSVBVM60.__vbaStrCa>;  MSVBVM60.__vbaStrCat
0040D2FF   .  8BD0            MOV EDX,EAX                   // jmp 出来
0040D301   .  8D4D E4         LEA ECX,DWORD PTR SS:[EBP-1C]

00414F32      C700 43004800   MOV DWORD PTR DS:[EAX],480043
00414F38      C740 04 49004E0>MOV DWORD PTR DS:[EAX+4],4E0049
00414F3F      C740 08 4100500>MOV DWORD PTR DS:[EAX+8],500041
00414F46      C740 0C 5900470>MOV DWORD PTR DS:[EAX+C],470059
00414F4D      8BD0            MOV EDX,EAX
00414F4F      8D4D E4         LEA ECX,DWORD PTR SS:[EBP-1C]
00414F52    ^ E9 AD83FFFF     JMP 海狼三人.0040D304

原来大家都用 VB Decompiler  我还在OD的万能断点中挣扎

终于看完了 其实SeVen也是很强大的 keygen了zp、exep ……  :-)   楼主辛苦了 祝考试顺利 ~~

我有2个问题不知道有高手回答否
1。为什么一下就知道是创建了子进程，是怎么知道的，还是说只是一个经验问题。。
2。10楼的自检验的代码位置是怎么跟踪到的啊

认真学习中....

NISY也不错，早入高手之流了

于是Ctrl+F2，重来。先过了第1步，然后Ctrl+G，输入ClipCursor，看一下这个函数：

不行啊，直接修改第一条为RETN 4也会禁止鼠标的

继续提交疑问
LZ下断CreateProcessW后返回，来到rtcshell处，上面有一个跳转，LZ说一定要跳，
本人改成NOP之后，运行程序，任务管理里多了一堆的相同的进程，而且还在不断创建。。。。。。。
最终，我的虚拟机很慢，后来taskkill /f /im才干掉

my god,is my mistake,lz's CM have CRC,and can not change anything items for itself,but it maped into memory after,it can,so.....my understand error what  i said in the past

看不懂

我什么都没断下来，鼠标还是只能在那一块小区域，按钮事件也断不下来……

太长了。好复杂