-
-
[求助]刚才发错地方了。找不到爆破点
-
发表于: 2009-1-12 18:02
-
(之前发错地方了,请管理员见谅)
来看雪一个星期了,成绩有了突飞猛进的进步,本想也写篇破文,和大家分享一下,结果正好手头有个软件叫windows定时关机2.2(定时关机),就拿它开刀,结果,居然没找到地方~很郁闷阿,所以拿出来和大家讨论下。
首先当然是用PEiD查下壳,显示为Watcom C/C++ EXE [Overlay],我没太管它,学过C++,就用OD载入,发现没有问题,就没把Watcom C/C++ EXE [Overlay]当回事(后来网上查,有人说可能是老K的伪装壳,我初学,不会脱壳)
之后问题就来了,我用了一下四种方式找爆破的地方
一、当然是最原始的三步法,试注册,提示“注册码错误请重新输入”,然后就在OD参考字符串里查找,结果发现不仅没有这个,而是除了一个“初始cpu选择”外,什么都没有,我怀疑是OD的问题,就用W32Dasm,发现同样没有收获
二、换一个思路,就查找函数参考好了,结果根本没有传说中的GetDlgItemText和GetWindowText,而是一大堆没用的东西
三、既然这样也不行,那就用消息断点和run跟踪好了,设置好了消息断点,让它可以在LBUTTONUP消息是断下来,然后从PEiD看到EP是AUTO,V.Offset是00001000,那我就在00401000处下了内存断点,希望程序回到程序领空是可以断下来。程序在消息断点处成功的断了下来,然后按F9,程序没有被断下来,而是直接提示了“注册码错误”,我查看run跟踪,找不到任何在程序领空的东西,全部是dll
四、此时已经比较郁闷了,决定用天草喜欢的套路好了,按F9让程序运行起来,然后试注册,弹出“注册码错误”的对话框,然后让程序暂停,ALT+K(调用堆栈),很失望的是虽然找到了,messagebox,但怎么跟踪都回不到程序的领空~~
不过查注册表找到了注册的地方
HKEY_CURRENT_USER\Software\pb_time 里面可以更改使用次数
至此已经彻底郁闷了,小弟不会用IDA,所以只好向高手求助~~
程序下载地址
http://www.onlinedown.net/soft/16454.htm
哎~原来想写篇破文还真不容易啊~~
来看雪一个星期了,成绩有了突飞猛进的进步,本想也写篇破文,和大家分享一下,结果正好手头有个软件叫windows定时关机2.2(定时关机),就拿它开刀,结果,居然没找到地方~很郁闷阿,所以拿出来和大家讨论下。
首先当然是用PEiD查下壳,显示为Watcom C/C++ EXE [Overlay],我没太管它,学过C++,就用OD载入,发现没有问题,就没把Watcom C/C++ EXE [Overlay]当回事(后来网上查,有人说可能是老K的伪装壳,我初学,不会脱壳)
之后问题就来了,我用了一下四种方式找爆破的地方
一、当然是最原始的三步法,试注册,提示“注册码错误请重新输入”,然后就在OD参考字符串里查找,结果发现不仅没有这个,而是除了一个“初始cpu选择”外,什么都没有,我怀疑是OD的问题,就用W32Dasm,发现同样没有收获
二、换一个思路,就查找函数参考好了,结果根本没有传说中的GetDlgItemText和GetWindowText,而是一大堆没用的东西
三、既然这样也不行,那就用消息断点和run跟踪好了,设置好了消息断点,让它可以在LBUTTONUP消息是断下来,然后从PEiD看到EP是AUTO,V.Offset是00001000,那我就在00401000处下了内存断点,希望程序回到程序领空是可以断下来。程序在消息断点处成功的断了下来,然后按F9,程序没有被断下来,而是直接提示了“注册码错误”,我查看run跟踪,找不到任何在程序领空的东西,全部是dll
四、此时已经比较郁闷了,决定用天草喜欢的套路好了,按F9让程序运行起来,然后试注册,弹出“注册码错误”的对话框,然后让程序暂停,ALT+K(调用堆栈),很失望的是虽然找到了,messagebox,但怎么跟踪都回不到程序的领空~~
不过查注册表找到了注册的地方
HKEY_CURRENT_USER\Software\pb_time 里面可以更改使用次数
至此已经彻底郁闷了,小弟不会用IDA,所以只好向高手求助~~
程序下载地址
http://www.onlinedown.net/soft/16454.htm
哎~原来想写篇破文还真不容易啊~~
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
