[求助]这个软件里的反追踪代码如何处理？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]这个软件里的反追踪代码如何处理？

发表于: 2004-12-20 21:32 11874

[求助]这个软件里的反追踪代码如何处理？

大明

2004-12-20 21:32

11874

http://cabri.com/data/Cabri3D_Eval_103_Setup.exe
这个软件可能刚开发出来，不让注册，只有时间限制！
只要安装，时间只有46天，但将机器时间改前一点，剩余时间会延长，为了延长时间，异想天开的认为只要在安装时将时间改后一点不就可以无限制使用了吗。可惜安装后依然只剩几天，删掉软件，清理注册表，重新安装，依旧！

请问大师们，软件是如何在机器内保留时间的？？

指导指导我这个菜鸟：（

动态追踪时，为何老是在00972073,009720c1,00972105三句之间跳转？
一直按shift+F9，最终会将软件打开！这是为什么？

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・1

支持

最新回复 (45) 1 2 ▶
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 2 楼在硬盘作记号无非以下: 1.文件 2.注册表 3.硬盘扇区(譬如MBR之后的保留扇区.....) 其实实质都是在你的磁盘写一个记号,就是看这个记号的对外表示的方式了. BTW:我的软件是往BIOS里面写记号的,哈哈哈 2004-12-21 11:56 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 3 楼还有,拿时间来比较无非就那几个函数调用,你找到了,慢慢分析,一定可以全部干掉的.... 2004-12-21 11:59 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 9 关注私信	riijj 7 4 楼最初由 great1234 发布还有,拿时间来比较无非就那几个函数调用,你找到了,慢慢分析,一定可以全部干掉的.... 有些软件不使用取得系统时间的 API，而是检查某些系统文件的更新时间 2004-12-21 12:03 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 5 楼最初由 riijj 发布有些软件不使用取得系统时间的 API，而是检查某些系统文件的更新时间那还不是那几个跟时间有关的API??? 2004-12-21 12:10 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 9 关注私信	riijj 7 6 楼最初由 great1234 发布那还不是那几个跟时间有关的API??? 说清楚一点比较好，可能楼主记不起那些档案时间 API 2004-12-21 12:14 0
hb1125 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	hb1125 7 楼我曾经也遇见过这种现象，它以程序的编译时间为准，该系统时间没有作用啊，找到比较的地方啊，改动比较跳转就可以了！！ 2004-12-21 12:24 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 8 楼谢谢同志们！这个软件是用vc7.0写的，我该用什么软件跟踪呢？我的系统是xp，好多软件不能用！如何设置断点，大师们能否具体一点对我这个菜鸟指点指点！ 2004-12-21 16:21 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 9 楼还有就是我想汉化这个软件，发现它是使用的语言包，用记事本编辑之后软件就不能运行，改用ultraedit编辑，但出现了乱码，请问该如何修改才能不出现这种现象？不胜感激：） 2004-12-21 16:28 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 10 楼大哥们,帮帮小弟,我在追踪这段程序时停在这儿了,是不是有反追踪代码,该怎么办?? 我是超级菜鸟! 2004-12-21 20:07 0
akwok 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	akwok 11 楼最初由大明发布大哥们,帮帮小弟,我在追踪这段程序时停在这儿了,是不是有反追踪代码,该怎么办?? 我是超级菜鸟! 你用的是那?调试工具啊? 2004-12-21 21:04 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 12 楼 ollydbg呀！ 2004-12-21 21:16 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 13 楼怎么没人理我啦？嫌我菜？唉，任何人都是从一窍不通开始啦！ 2004-12-22 15:10 0
d1y2j3 雪币： 213 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	d1y2j3 14 楼用中文的拼音算了，也算汉化 :D 2004-12-22 16:10 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 15 楼怎么没人帮我？我这个问题很讨厌的（对我来说），我已经头痛了好几天！ 2004-12-24 16:55 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 16 楼没人帮忙？狂顶！ 2004-12-27 16:47 0
海角虹楼雪币： 222 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 106 粉丝 0 关注私信	海角虹楼 17 楼最初由大明发布还有就是我想汉化这个软件，发现它是使用的语言包，用记事本编辑之后软件就不能运行，改用ultraedit编辑，但出现了乱码，请问该如何修改才能不出现这种现象？ ........ 兄弟，你这个问题可能是因为软件编的时候不是支持双字节的吧，应该是把软件调成支持俩字节的。我不懂啊我只是这么一猜至于到底怎么该语系你还得问高手 2004-12-27 17:28 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 18 楼怎么调？哪位高手帮忙？对高手来说应该小菜一碟！提示一下，应该改哪儿！！ 2004-12-27 17:46 0
XCyber 雪币： 220 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 39 粉丝 0 关注私信	XCyber 2 19 楼你之所以老停在那几个地方是由于hookdll.dll作怪，把CNNIC插件卸载就好了至于怎么去除时间限制，论坛里都有 :o 2004-12-27 18:02 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 20 楼最初由 XCyber 发布你之所以老停在那几个地方是由于hookdll.dll作怪，把CNNIC插件卸载就好了至于怎么去除时间限制，论坛里都有 :o 呵呵！具体问题具体分析！论坛里的方法并不适用呀！我的没这个插件呀！！ 2004-12-27 19:08 0
XCyber 雪币： 220 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 39 粉丝 0 关注私信	XCyber 2 21 楼 CNNIC控件把hookdll.dll注入到你的进程，所以你不单调试这个程序会老停在hookdll.dll空间，调试别的程序也一样，不信你可试试。你可看看你的程序导入表里面有没hookdll.dll，或者安装包里面有没有，你就知道这hookdll.dll不是好东西 CNNIC控件（不是ollydbg插件，我表述有误，纠正）是你IE浏览网页时装上的就像3721一样 2004-12-27 21:22 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 22 楼最初由 XCyber 发布 CNNIC控件把hookdll.dll注入到你的进程，所以你不单调试这个程序会老停在hookdll.dll空间，调试别的程序也一样，不信你可试试。你可看看你的程序导入表里面有没hookdll.dll，或者安装包里面有没有，你就知道这hookdll.dll不是好东西 CNNIC控件（不是ollydbg插件，我表述有误，纠正）是你IE浏览网页时装上的就像3721一样果然，程序一运行，hookdll.dll就被调入了！那该怎么卸掉该插件呢？我对此一无所知：（ 2004-12-27 21:37 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 23 楼最初由 XCyber 发布 CNNIC控件把hookdll.dll注入到你的进程，所以你不单调试这个程序会老停在hookdll.dll空间，调试别的程序也一样，不信你可试试。你可看看你的程序导入表里面有没hookdll.dll，或者安装包里面有没有，你就知道这hookdll.dll不是好东西 CNNIC控件（不是ollydbg插件，我表述有误，纠正）是你IE浏览网页时装上的就像3721一样那该怎么卸掉该插件呢？我对此一无所知：（ 2004-12-27 21:43 0
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 24 楼呵呵．很简单 2004-12-28 00:28 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 25 楼最初由云重发布呵呵．很简单唉！对你来说很简单，就是不告诉我！现在的人都坏呀：（ 2004-12-28 08:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

大明

发帖

回帖

RANK

关注

私信

他的文章

[求助]这个软件里的反追踪代码如何处理？ 11875

关于我们

联系我们

企业服务

看雪公众号

最新回复 (45) 1 2 ▶
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 2 楼在硬盘作记号无非以下: 1.文件 2.注册表 3.硬盘扇区(譬如MBR之后的保留扇区.....) 其实实质都是在你的磁盘写一个记号,就是看这个记号的对外表示的方式了. BTW:我的软件是往BIOS里面写记号的,哈哈哈 2004-12-21 11:56 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 3 楼还有,拿时间来比较无非就那几个函数调用,你找到了,慢慢分析,一定可以全部干掉的.... 2004-12-21 11:59 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 9 关注私信	riijj 7 4 楼最初由 great1234 发布还有,拿时间来比较无非就那几个函数调用,你找到了,慢慢分析,一定可以全部干掉的.... 有些软件不使用取得系统时间的 API，而是检查某些系统文件的更新时间 2004-12-21 12:03 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 5 楼最初由 riijj 发布有些软件不使用取得系统时间的 API，而是检查某些系统文件的更新时间那还不是那几个跟时间有关的API??? 2004-12-21 12:10 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 9 关注私信	riijj 7 6 楼最初由 great1234 发布那还不是那几个跟时间有关的API??? 说清楚一点比较好，可能楼主记不起那些档案时间 API 2004-12-21 12:14 0
hb1125 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	hb1125 7 楼我曾经也遇见过这种现象，它以程序的编译时间为准，该系统时间没有作用啊，找到比较的地方啊，改动比较跳转就可以了！！ 2004-12-21 12:24 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 8 楼谢谢同志们！这个软件是用vc7.0写的，我该用什么软件跟踪呢？我的系统是xp，好多软件不能用！如何设置断点，大师们能否具体一点对我这个菜鸟指点指点！ 2004-12-21 16:21 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 9 楼还有就是我想汉化这个软件，发现它是使用的语言包，用记事本编辑之后软件就不能运行，改用ultraedit编辑，但出现了乱码，请问该如何修改才能不出现这种现象？不胜感激：） 2004-12-21 16:28 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 10 楼大哥们,帮帮小弟,我在追踪这段程序时停在这儿了,是不是有反追踪代码,该怎么办?? 我是超级菜鸟! 2004-12-21 20:07 0
akwok 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	akwok 11 楼最初由大明发布大哥们,帮帮小弟,我在追踪这段程序时停在这儿了,是不是有反追踪代码,该怎么办?? 我是超级菜鸟! 你用的是那?调试工具啊? 2004-12-21 21:04 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 12 楼 ollydbg呀！ 2004-12-21 21:16 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 13 楼怎么没人理我啦？嫌我菜？唉，任何人都是从一窍不通开始啦！ 2004-12-22 15:10 0
d1y2j3 雪币： 213 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	d1y2j3 14 楼用中文的拼音算了，也算汉化 :D 2004-12-22 16:10 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 15 楼怎么没人帮我？我这个问题很讨厌的（对我来说），我已经头痛了好几天！ 2004-12-24 16:55 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 16 楼没人帮忙？狂顶！ 2004-12-27 16:47 0
海角虹楼雪币： 222 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 106 粉丝 0 关注私信	海角虹楼 17 楼最初由大明发布还有就是我想汉化这个软件，发现它是使用的语言包，用记事本编辑之后软件就不能运行，改用ultraedit编辑，但出现了乱码，请问该如何修改才能不出现这种现象？ ........ 兄弟，你这个问题可能是因为软件编的时候不是支持双字节的吧，应该是把软件调成支持俩字节的。我不懂啊我只是这么一猜至于到底怎么该语系你还得问高手 2004-12-27 17:28 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 18 楼怎么调？哪位高手帮忙？对高手来说应该小菜一碟！提示一下，应该改哪儿！！ 2004-12-27 17:46 0
XCyber 雪币： 220 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 39 粉丝 0 关注私信	XCyber 2 19 楼你之所以老停在那几个地方是由于hookdll.dll作怪，把CNNIC插件卸载就好了至于怎么去除时间限制，论坛里都有 :o 2004-12-27 18:02 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 20 楼最初由 XCyber 发布你之所以老停在那几个地方是由于hookdll.dll作怪，把CNNIC插件卸载就好了至于怎么去除时间限制，论坛里都有 :o 呵呵！具体问题具体分析！论坛里的方法并不适用呀！我的没这个插件呀！！ 2004-12-27 19:08 0
XCyber 雪币： 220 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 39 粉丝 0 关注私信	XCyber 2 21 楼 CNNIC控件把hookdll.dll注入到你的进程，所以你不单调试这个程序会老停在hookdll.dll空间，调试别的程序也一样，不信你可试试。你可看看你的程序导入表里面有没hookdll.dll，或者安装包里面有没有，你就知道这hookdll.dll不是好东西 CNNIC控件（不是ollydbg插件，我表述有误，纠正）是你IE浏览网页时装上的就像3721一样 2004-12-27 21:22 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 22 楼最初由 XCyber 发布 CNNIC控件把hookdll.dll注入到你的进程，所以你不单调试这个程序会老停在hookdll.dll空间，调试别的程序也一样，不信你可试试。你可看看你的程序导入表里面有没hookdll.dll，或者安装包里面有没有，你就知道这hookdll.dll不是好东西 CNNIC控件（不是ollydbg插件，我表述有误，纠正）是你IE浏览网页时装上的就像3721一样果然，程序一运行，hookdll.dll就被调入了！那该怎么卸掉该插件呢？我对此一无所知：（ 2004-12-27 21:37 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 23 楼最初由 XCyber 发布 CNNIC控件把hookdll.dll注入到你的进程，所以你不单调试这个程序会老停在hookdll.dll空间，调试别的程序也一样，不信你可试试。你可看看你的程序导入表里面有没hookdll.dll，或者安装包里面有没有，你就知道这hookdll.dll不是好东西 CNNIC控件（不是ollydbg插件，我表述有误，纠正）是你IE浏览网页时装上的就像3721一样那该怎么卸掉该插件呢？我对此一无所知：（ 2004-12-27 21:43 0
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 24 楼呵呵．很简单 2004-12-28 00:28 0
大明雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	大明 25 楼最初由云重发布呵呵．很简单唉！对你来说很简单，就是不告诉我！现在的人都坏呀：（ 2004-12-28 08:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复