首页
社区
课程
招聘
[求助]刚才发错地方了。找不到爆破点
发表于: 2009-1-12 18:02 5100

[求助]刚才发错地方了。找不到爆破点

2009-1-12 18:02
5100
(之前发错地方了,请管理员见谅)
来看雪一个星期了,成绩有了突飞猛进的进步,本想也写篇破文,和大家分享一下,结果正好手头有个软件叫windows定时关机2.2(定时关机),就拿它开刀,结果,居然没找到地方~很郁闷阿,所以拿出来和大家讨论下。

首先当然是用PEiD查下壳,显示为Watcom C/C++ EXE [Overlay],我没太管它,学过C++,就用OD载入,发现没有问题,就没把Watcom C/C++ EXE [Overlay]当回事(后来网上查,有人说可能是老K的伪装壳,我初学,不会脱壳)

之后问题就来了,我用了一下四种方式找爆破的地方

一、当然是最原始的三步法,试注册,提示“注册码错误请重新输入”,然后就在OD参考字符串里查找,结果发现不仅没有这个,而是除了一个“初始cpu选择”外,什么都没有,我怀疑是OD的问题,就用W32Dasm,发现同样没有收获



二、换一个思路,就查找函数参考好了,结果根本没有传说中的GetDlgItemText和GetWindowText,而是一大堆没用的东西



三、既然这样也不行,那就用消息断点和run跟踪好了,设置好了消息断点,让它可以在LBUTTONUP消息是断下来,然后从PEiD看到EP是AUTO,V.Offset是00001000,那我就在00401000处下了内存断点,希望程序回到程序领空是可以断下来。程序在消息断点处成功的断了下来,然后按F9,程序没有被断下来,而是直接提示了“注册码错误”,我查看run跟踪,找不到任何在程序领空的东西,全部是dll

四、此时已经比较郁闷了,决定用天草喜欢的套路好了,按F9让程序运行起来,然后试注册,弹出“注册码错误”的对话框,然后让程序暂停,ALT+K(调用堆栈),很失望的是虽然找到了,messagebox,但怎么跟踪都回不到程序的领空~~



不过查注册表找到了注册的地方

HKEY_CURRENT_USER\Software\pb_time 里面可以更改使用次数

至此已经彻底郁闷了,小弟不会用IDA,所以只好向高手求助~~

程序下载地址
http://www.onlinedown.net/soft/16454.htm
哎~原来想写篇破文还真不容易啊~~

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (12)
雪    币: 1632
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
pb?
要用pbkiller的
2009-1-12 18:40
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
OD参考字符串要在程序脱壳后才可以看到,否则,带壳调试就必须找到主程序
如果确象楼上所说,PB程序,只能用PB调试程序先调试了
2009-1-12 18:55
0
雪    币: 144
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
那它加得是什么壳呢?~~
2009-1-12 19:06
0
雪    币: 144
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
pb好像是反编译的,试了,好像没作用~~
2009-1-12 20:49
0
雪    币: 103
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
反编译TIME_98.dll,里面有你需要的信息
2009-1-12 23:11
0
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
7
这个 call 在比对注册码  (TIME_98.dll)
供你参考
01A2187C    52                push    edx
01A2187D    8B8C24 F4000000   mov     ecx, dword ptr [esp+F4]
01A21884    51                push    ecx
01A21885    53                push    ebx
01A21886    E8 7D6E0000       call    <jmp.&PBVM80.#2611>
01A2188B    85C0              test    eax, eax
01A2188D    75 07             jnz     short 01A21896
2009-1-13 00:16
0
雪    币: 144
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
感谢楼上两位~不过是用什么找到在TIME_98里的呢?~~
2009-1-13 12:25
0
雪    币: 144
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
是不是用pb反编译TIME_98呢?~
2009-1-13 12:28
0
雪    币: 103
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
用PBKiller,找到注册按钮的事件.
2009-1-13 13:04
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
试看看.   .
2009-1-13 13:15
0
雪    币: 144
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
好的~我试试~谢各位
2009-1-13 13:27
0
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
13
用 OD 追的
2009-1-13 17:04
0
游客
登录 | 注册 方可回帖
返回
//