[原创]通过api监控程序来破解——jjdg编写的crackme剖析-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

[原创]通过api监控程序来破解——jjdg编写的crackme剖析

发表于: 2009-4-29 18:44 15079

[原创]通过api监控程序来破解——jjdg编写的crackme剖析

红尘岁月

2009-4-29 18:44

15079

【文章标题】: 通过api监控程序来破解
【文章作者】: 红尘岁月
【软件名称】: jjdg编写的crackme
【软件大小】: 28K
【下载地址】: http://bbs.pediy.com/showthread.php?t=87435
【加壳方式】: 无壳
【编写语言】: vb
【使用工具】: SoftSnoop
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  天天带孩子，好长时间没有仔细的玩过破解了，拿一个简单的来练练手。

  好像论坛上没有看到过用api监控程序来破解的。今天我们不用OD,我们拿一个api监控程序SoftSnoop来试试。

  程序共分四步：
  首先，是取磁盘信息
  第二，1的3次方1，2的3次方8，3的3次方27，加前面的字符串后面
  第三，把字符串的奇数位字符154212与偶数位字符8473387
  第四，每个字符数值的平方相联就是最后结果 1 25 16 4 1 4 64 16 49 9 9 64 49

  首先，是取磁盘信息

  返回地址: 00403B9C  函数名称: __vbaStrToAnsi(MSVBVM60.DLL)
  __vbaStrToAnsi: 转换字符串格式
      保存结果=0x0012FABC
         字符串="c:\"
  __vbaStrToAnsi返回值: 0x0014DD3C ("c:\")(转换字符串格式)

  返回地址: 004028DF  函数名称: DllFunctionCall(MSVBVM60.DLL)
  DllFunctionCall: 加载DLL
         lpDllName="kernel32"
  DllFunctionCall返回值: 0x77E83C52(dll句柄)

  返回地址: 00403BA2  函数名称: GetVolumeInformationA(KERNEL32.dll)
  GetVolumeInformationA: 获取与一个磁盘卷有关的信息
         lpRootPathName=0x0014DD3C
         lpVolumeNameBuffer=0x0014FE34
         nVolumeNameSize=0x000000FF
         lpVolumeSerialNumber=0x0012FAE0
         lpMaximumComponentLength=0x0012FAFC
         lpFileSystemFlags=0x0012FAEC
         lpFileSystemNameBuffer=0x0014FD1C
         nFileSystemNameSize=0x000000FF
  GetVolumeInformationA返回值: 0x00000001

  返回地址: 00403BB8  函数名称: __vbaStrToUnicode(MSVBVM60.DLL)
  __vbaStrToUnicode: 转换字符串格式
         保存结果=0x0012FAD8
         字符串="c:\"
  __vbaStrToUnicode返回值: 0x00147134 (unicode字符串"c:\")

  返回地址: 00403BC2  函数名称: __vbaStrToUnicode(MSVBVM60.DLL)
  __vbaStrToUnicode: 转换字符串格式
         保存结果=0x0012FAD4
         字符串=""
  __vbaStrToUnicode返回值: 0x0014F8EC (unicode字符串"")

  返回地址: 00403BCC  函数名称: __vbaStrToUnicode(MSVBVM60.DLL)
  __vbaStrToUnicode: 转换字符串格式
         保存结果=0x0012FAC0
         字符串="NTFS"
  __vbaStrToUnicode返回值: 0x0014FB04 (unicode字符串"NTFS")

  返回地址: 00403C07  函数名称: rtcVarStrFromVar(MSVBVM60.DLL)
  rtcVarStrFromVar: 变量转为字符串表示
         保存结果=0x0012FAA0
         变量=0x0012FA80
  rtcVarStrFromVar返回值: 0x0012FAA0 (vb字符串:" 814574323")(字符串)

  返回地址: 00403C18  函数名称: rtcTrimVar(MSVBVM60.DLL)
  rtcTrimVar: 压缩vb变量
         保存结果=0x0012FA90
         Var=0x0012FAA0  (vb字符串:" 814574323")
  rtcTrimVar返回值: 0x0012FA90 (vb字符串:"814574323")

  返回地址: 00403C28  函数名称: __vbaStrVarMove(MSVBVM60.DLL)
  __vbaStrVarMove: 移动字符串
         字符串=0x0012FA90  (vb字符串:"814574323")
  __vbaStrVarMove返回值: 0x0014DCDC (unicode字符串"814574323")

  返回地址: 00403C33  函数名称: __vbaStrMove(MSVBVM60.DLL)
  __vbaStrMove: 移动字符串
         目的字符串=0x0012FB20
         源字符串=0x0012FBF0
  __vbaStrMove返回值: 0x0014DCDC (unicode字符串"814574323")

  返回地址: 00403C3D  函数名称: __vbaStrCopy(MSVBVM60.DLL)
  __vbaStrCopy: 拷贝字符串
         保存结果=0x0012FB20
         字符串=0x0012FBF0
  __vbaStrCopy返回值: 0x00150574 (unicode字符串"814574323")

  返回地址: 00403C7F  函数名称: rtcLeftCharVar(MSVBVM60.DLL)
  rtcLeftCharVar: 取字符串左边的字符
         保存结果=0x0012FAA0
         字符串="814574323"
         字符数量=0x00000001
  rtcLeftCharVar返回值: 0x0012FAA0 (vb字符串:"8")

  返回地址: 00403CA4  函数名称: __vbaVarTstEq(MSVBVM60.DLL)
  __vbaVarTstEq: 变量是否相等
         变量1=0x0012FA70  (vb字符串:"-")
         变量2=0x0012FAA0  (vb字符串:"8")
  __vbaVarTstEq返回值: 0x00000000(NULL表示不相等)

  第二，1的3次方1，2的3次方8，3的3次方27，加前面的字符串后面

  返回地址: 0040303E  函数名称: __vbaVarForInit(MSVBVM60.DLL)
  __vbaVarForInit: 初始化for循环
         循环变量=0x0012F644
         临时增量=0x0012F574
         临时终值=0x0012F564
         初值=0x0012F5A4  (vb整型:1)
         终值=0x0012F5B4  (vb长整型:3)
         步长=0x0012F5C4  (vb整型:1)
  __vbaVarForInit返回值: 0x00000001(初始化for循环)

  返回地址: 00403084  函数名称: __vbaVarPow(MSVBVM60.DLL)
  __vbaVarPow: 乘方运算
         保存结果=0x0012F604
         Var1=0x0012F5C4  (vb整型:3)
         Var2=0x0012F644  (vb长整型:1)
  __vbaVarPow返回值: 0x0012F604 (vb双精度:1.000000)

  返回地址: 0040308F  函数名称: __vbaVarCat(MSVBVM60.DLL)
  __vbaVarCat: 变量联接
         保存结果=0x0012F5F4
         变量2=0x0012F604  (vb双精度:1.000000)
         变量3=0x0012F5B4  (vb字符串:"814574323")
  __vbaVarCat返回值: 0x0012F5F4 (vb字符串:"8145743231")

  返回地址: 00403096  函数名称: __vbaStrVarMove(MSVBVM60.DLL)
  __vbaStrVarMove: 移动字符串
         字符串=0x0012F5F4  (vb字符串:"8145743231")
  __vbaStrVarMove返回值: 0x0014F8C4 (unicode字符串"8145743231")

  返回地址: 004030A1  函数名称: __vbaStrMove(MSVBVM60.DLL)
  __vbaStrMove: 移动字符串
         目的字符串=0x0012F674
         源字符串=0x0012F744
  __vbaStrMove返回值: 0x0014F8C4 (unicode字符串"8145743231")

  返回地址: 004030AB  函数名称: __vbaStrCopy(MSVBVM60.DLL)
  __vbaStrCopy: 拷贝字符串
         保存结果=0x0012F674
         字符串=0x0012F744
  __vbaStrCopy返回值: 0x0014DCDC (unicode字符串"8145743231")

  返回地址: 00403084  函数名称: __vbaVarPow(MSVBVM60.DLL)
  __vbaVarPow: 乘方运算
         保存结果=0x0012F604
         Var1=0x0012F5C4  (vb整型:3)
         Var2=0x0012F644  (vb长整型:2)
  __vbaVarPow返回值: 0x0012F604 (vb双精度:8.000000)

  返回地址: 0040308F  函数名称: __vbaVarCat(MSVBVM60.DLL)
  __vbaVarCat: 变量联接
         保存结果=0x0012F5F4
         变量2=0x0012F604  (vb双精度:8.000000)
         变量3=0x0012F5B4  (vb字符串:"8145743231")
  __vbaVarCat返回值: 0x0012F5F4 (vb字符串:"81457432318")

  返回地址: 00403096  函数名称: __vbaStrVarMove(MSVBVM60.DLL)
  __vbaStrVarMove: 移动字符串
         字符串=0x0012F5F4  (vb字符串:"81457432318")
  __vbaStrVarMove返回值: 0x00150574 (unicode字符串"81457432318")

  返回地址: 004030A1  函数名称: __vbaStrMove(MSVBVM60.DLL)
  __vbaStrMove: 移动字符串
         目的字符串=0x0012F674
         源字符串=0x0012F744
  __vbaStrMove返回值: 0x00150574 (unicode字符串"81457432318")

  返回地址: 004030AB  函数名称: __vbaStrCopy(MSVBVM60.DLL)
  __vbaStrCopy: 拷贝字符串
         保存结果=0x0012F674
         字符串=0x0012F744
  __vbaStrCopy返回值: 0x0014F8C4 (unicode字符串"81457432318")

  返回地址: 00403084  函数名称: __vbaVarPow(MSVBVM60.DLL)
  __vbaVarPow: 乘方运算
         保存结果=0x0012F604
         Var1=0x0012F5C4  (vb整型:3)
         Var2=0x0012F644  (vb长整型:3)
  __vbaVarPow返回值: 0x0012F604 (vb双精度:27.000000)

  返回地址: 0040308F  函数名称: __vbaVarCat(MSVBVM60.DLL)
  __vbaVarCat: 变量联接
         保存结果=0x0012F5F4
         变量2=0x0012F604  (vb双精度:27.000000)
         变量3=0x0012F5B4  (vb字符串:"81457432318")
  __vbaVarCat返回值: 0x0012F5F4 (vb字符串:"8145743231827")

  第三，把字符串的奇数位字符154212与偶数位字符8473387

  返回地址: 00402F0B  函数名称: __vbaVarForInit(MSVBVM60.DLL)
  __vbaVarForInit: 初始化for循环
         循环变量=0x0012F644
         临时增量=0x0012F554
         临时终值=0x0012F544
         初值=0x0012F5A4  (vb整型:1)
         终值=0x0012F5B4  (vb长整型:13)
         步长=0x0012F5C4  (vb整型:1)
  __vbaVarForInit返回值: 0x00000001(初始化for循环)

  返回地址: 00403153  函数名称: __vbaVarCat(MSVBVM60.DLL)
  __vbaVarCat: 变量联接
         保存结果=0x0012F604
         变量2=0x0012F634  (vb字符串:"8473387")
         变量3=0x0012F624  (vb字符串:"154212")
  __vbaVarCat返回值: 0x0012F604 (vb字符串:"1542128473387")

  第四，每个字符数值的平方相联就是最后结果 1 25 16 4 1 4 64 16 49 9 9 64 49
  即12516414641649996449 （注意：我的机器码为814574323）

--------------------------------------------------------------------------------
【经验总结】
  api监控程序其实也可以玩破解的。^v^

--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                   2009年04月29日 18:43:01

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・11

免费・7

支持

最新回复 (31) 1 2 ▶
xiaojiam 雪币： 261 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 41 回帖 325 粉丝 0 关注私信	xiaojiam 2 2 楼沙发一下! 2009-4-29 18:47 0
acafeel 雪币： 333 活跃值： (116) 能力值： ( LV9，RANK：570 ) 在线值：发帖 31 回帖 219 粉丝 1 关注私信	acafeel 14 3 楼还没玩过SoftSnoop这东东，感谢楼主这篇文章的引导，幸苦了～另外还不知道该如何向楼主你一样的一步步捕捉过程，楼主能大致说说吗？我也好跟着学习学习～谢谢了～标记备份一下：http://bbs.pediy.com/showthread.php?t=55974 2009-4-29 19:19 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 4 楼 [QUOTE=acafeel;614053]还没玩过SoftSnoop这东东，感谢楼主这篇文章的引导，幸苦了～另外还不知道该如何向楼主你一样的一步步捕捉过程，楼主能大致说说吗？我也好跟着学习学习～谢谢了～标记备份一下：http://bbs.pediy.com/showthread.php?t=55974[/QUOTE] 不是一步步捕捉的，是程序自动捕捉的。我只是把捕捉的日志取了一部分出来而已。 2009-4-29 19:43 0
CuteSnail 雪币： 452 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 342 粉丝 0 关注私信	CuteSnail 2 5 楼请问楼主，这些返回值是你自己注释上去的，还是SoftSnoop本身就给出了这些信息呀？怎么我照着楼主你给的信息对比，没见着这些提示呀！ 2009-4-30 11:42 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 6 楼 SoftSnoop自动添加的,附图上传的附件： 001.gif （25.12kb，790次下载） 2009-4-30 16:00 0
jrs13579 雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 72 粉丝 1 关注私信	jrs13579 7 楼怪事，我载入程序后就停顿在如图所示的地方，请问这是什么原因呀？上传的附件：未命名.JPG （73.96kb，767次下载） 2009-4-30 23:08 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 8 楼因为你安装了微软的kb956572补丁 2009-5-1 15:23 0
jrs13579 雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 72 粉丝 1 关注私信	jrs13579 9 楼查找了一下，系统里面没发现安装了此补丁，另，softsnoop 1.3版可以运行。 2009-5-1 16:05 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 10 楼这个软件不知道还更新不.... 2009-5-1 16:57 0
CuteSnail 雪币： 452 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 342 粉丝 0 关注私信	CuteSnail 2 11 楼我也出现了 jrs13579 所说的情况，使用1.3版本给出的信息又与楼主教程的信息不一样！郁闷呀！楼主能给出个你的SoftSnoop相关配置情况吗？谢谢～ 2009-5-5 20:50 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 12 楼 windows的有些升级包会影响detours库在dll中的调用。楼上的应该是这种情况。至于不能跟出与我教程一样的信息是因为...... 我使用的SoftSnoop被我修改过的附上我修改过的SoftSnoop 已在工具下载区更新： http://bbs.pediy.com/showthread.php?t=91536 2009-5-6 12:46 0
CuteSnail 雪币： 452 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 342 粉丝 0 关注私信	CuteSnail 2 13 楼谢谢红尘岁月大侠分享出了你的专用版本，和你一样的信息了，万分感谢～ 2009-5-6 13:02 0
Loka 雪币： 993 活跃值： (442) 能力值： ( LV12，RANK：403 ) 在线值：发帖 23 回帖 131 粉丝 0 关注私信	Loka 2 14 楼下一个来用，谢谢分享！ 2009-5-6 21:25 0
科维雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 90 粉丝 0 关注私信	科维 15 楼还没试过SoftSnoop，这个也可以的吗？ 2009-5-6 21:40 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 16 楼 [QUOTE=红尘岁月;614041]【文章标题】: 通过api监控程序来破解【文章作者】: 红尘岁月【软件名称】: jjdg编写的crackme 【软件大小】: 28K 【下载地址】: http://bbs.pediy.com/showthread.php?t=87435 【加壳方式】: 无壳【编写语言】: vb ...[/QUOTE] 算法(我的总结): 2084084868，这是我的机器码。程序先判断是什么磁盘格式（系统盘符如果是在C：\），每种情况如下： 1、如果是FAT32的，则用1的3次方值1，2的3次方值8，这两个数加到2084084868后面，即为208408486818，然后把这个数的偶数位先提出来，对提出来的第一个数进行乘方运算，计为数值A；然后再把奇数位提出来，对每一个提出来的数进行乘方运算，其结果计为B，将A和B连到一起就是注册码。 2、如果是NTFS的，算法略有不同，这回不仅是用1、2这两个数的3次方值，还要用到3的3次方值27，得到20840848681827，接下来的算法是先取这个串的奇数位进行乘方，再取这个串的偶数位再乘方，最后把新得到的这两个串连到一起就是注册码。这是文字描述，希望作者可以放出源码，以供交流。不当之处请大家谅解，感谢API破解一文的帮助。 2009-5-7 18:23 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 17 楼如果可以的话,是否可能写出注册机或者是源码? 我在这个算法上C函数用不太好,VB不甚懂. 2009-5-7 18:24 0
MichaelHc 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 46 粉丝 0 关注私信	MichaelHc 18 楼 “api监控程序其实也可以玩破解的。”这个思路还从来没听过，多谢大侠分享！ 2009-5-7 22:45 0
MichaelHc 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 46 粉丝 0 关注私信	MichaelHc 19 楼呃。。。刚才试了下，用红尘岁月大侠修改的SoftSnoop打开jjdg的crackme还是不行。错误提示： “异常：非法访问地址 7C93B21Ah 进程已被SoftSnoop终止” 请问是什么原因啊？ 2009-5-7 23:37 0
jrs13579 雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 72 粉丝 1 关注私信	jrs13579 20 楼同样的错误，晕！建议红尘岁月大侠再次修改SoftSnoop提高可用性！1.3版的可以运行，但是没有红尘岁月大侠修改的效果！ 2009-5-8 00:37 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 21 楼把整个列表的输出文件发给我看一下 2009-5-8 10:51 0
whzr 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 77 粉丝 1 关注私信	whzr 22 楼有新鲜的东西，偶也来尝个鲜！ 2009-5-8 12:22 0
lynxtang 雪币： 1027 活跃值： (256) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 97 粉丝 0 关注私信	lynxtang 23 楼强帖，标记下，学习学习 2009-5-8 13:54 0
jrs13579 雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 72 粉丝 1 关注私信	jrs13579 24 楼开始调试新建进程... -PID: D7Ch 进程句柄: E0h -TID: B50h 线程句柄 D0h TID: 00000B50h: 模块被导入...ntdll.dll Base: 7C920000h 模块被导入...KERNEL32.dll Base: 7C800000h 模块被导入...APISnoop.dll Base: 10000000h 模块被导入...USER32.dll Base: 77D10000h 模块被导入...GDI32.dll Base: 77EF0000h 模块被导入...MSVBVM60.DLL Base: 73390000h 模块被导入...ADVAPI32.dll Base: 77DA0000h 模块被导入...RPCRT4.dll Base: 77E50000h 模块被导入...Secur32.dll Base: 77FC0000h 模块被导入...ole32.dll Base: 76990000h 模块被导入...msvcrt.dll Base: 77BE0000h 模块被导入...OLEAUT32.dll Base: 770F0000h 模块被导入...IMM32.dll Base: 76300000h 模块被导入...LPK.dll Base: 62C20000h 模块被导入...USP10.dll Base: 73FA0000h 开始查找模块..... 查询到模块开始于: 0x00400000 终止于: 0x00407000 模块名称: D:\Personal\Desktop\CrackMe.exe 查询到模块开始于: 0x62C20000 终止于: 0x62C29000 模块名称: LPK.dll 查询到模块开始于: 0x73390000 终止于: 0x734E4000 模块名称: MSVBVM60.DLL 查询到模块开始于: 0x73FA0000 终止于: 0x7400B000 模块名称: USP10.dll 查询到模块开始于: 0x76300000 终止于: 0x7631D000 模块名称: IMM32.dll 查询到模块开始于: 0x76990000 终止于: 0x76ACD000 模块名称: ole32.dll 查询到模块开始于: 0x770F0000 终止于: 0x7717B000 模块名称: OLEAUT32.dll 查询到模块开始于: 0x77BE0000 终止于: 0x77C38000 模块名称: msvcrt.dll 查询到模块开始于: 0x77D10000 终止于: 0x77DA0000 模块名称: USER32.dll 查询到模块开始于: 0x77DA0000 终止于: 0x77E49000 模块名称: ADVAPI32.dll 查询到模块开始于: 0x77E50000 终止于: 0x77EE2000 模块名称: RPCRT4.dll 查询到模块开始于: 0x77EF0000 终止于: 0x77F39000 模块名称: GDI32.dll 查询到模块开始于: 0x77FC0000 终止于: 0x77FD1000 模块名称: Secur32.dll 查询到模块开始于: 0x7C800000 终止于: 0x7C91E000 模块名称: KERNEL32.dll 查询到模块开始于: 0x7C920000 终止于: 0x7C9B3000 模块名称: ntdll.dll 共查找到15个模块. DetourTransactionCommit函数处理中........(10秒内未返回说明调用失败) 异常: 非法访问地址 7C92E4FAh 进程已被SoftSnoop终止 2009-5-8 17:52 0
frip 雪币： 215 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 0 关注私信	frip 25 楼开始调试新建进程... -PID: EB0h 进程句柄: D0h -TID: 754h 线程句柄 B8h TID: 00000754h: 模块被导入...ntdll.dll Base: 7C920000h 模块被导入...KERNEL32.dll Base: 7C800000h 模块被导入...APISnoop.dll Base: 10000000h 模块被导入...USER32.dll Base: 77D10000h 模块被导入...GDI32.dll Base: 77EF0000h 模块被导入...MSVBVM60.DLL Base: 73390000h 模块被导入...ADVAPI32.dll Base: 77DA0000h 模块被导入...RPCRT4.dll Base: 77E50000h 模块被导入...Secur32.dll Base: 77FC0000h 模块被导入...ole32.dll Base: 76990000h 模块被导入...msvcrt.dll Base: 77BE0000h 模块被导入...OLEAUT32.dll Base: 770F0000h 模块被导入...IMM32.dll Base: 76300000h 模块被导入...LPK.dll Base: 62C20000h 模块被导入...USP10.dll Base: 73FA0000h 开始查找模块..... 查询到模块开始于: 0x00400000 终止于: 0x00407000 模块名称: C:\Documents and Settings\Administrator\桌面\CrackMe\CrackMe.exe 查询到模块开始于: 0x62C20000 终止于: 0x62C29000 模块名称: LPK.dll 查询到模块开始于: 0x73390000 终止于: 0x734E3000 模块名称: MSVBVM60.DLL 查询到模块开始于: 0x73FA0000 终止于: 0x7400B000 模块名称: USP10.dll 查询到模块开始于: 0x76300000 终止于: 0x7631D000 模块名称: IMM32.dll 查询到模块开始于: 0x76990000 终止于: 0x76ACD000 模块名称: ole32.dll 查询到模块开始于: 0x770F0000 终止于: 0x7717B000 模块名称: OLEAUT32.dll 查询到模块开始于: 0x77BE0000 终止于: 0x77C38000 模块名称: msvcrt.dll 查询到模块开始于: 0x77D10000 终止于: 0x77DA0000 模块名称: USER32.dll 查询到模块开始于: 0x77DA0000 终止于: 0x77E49000 模块名称: ADVAPI32.dll 查询到模块开始于: 0x77E50000 终止于: 0x77EE2000 模块名称: RPCRT4.dll 查询到模块开始于: 0x77EF0000 终止于: 0x77F39000 模块名称: GDI32.dll 查询到模块开始于: 0x77FC0000 终止于: 0x77FD1000 模块名称: Secur32.dll 查询到模块开始于: 0x7C800000 终止于: 0x7C91E000 模块名称: KERNEL32.dll 查询到模块开始于: 0x7C920000 终止于: 0x7C9B6000 模块名称: ntdll.dll 共查找到15个模块. DetourTransactionCommit函数处理中........(10秒内未返回说明调用失败) 异常: 非法访问地址 7C92E51Ah 进程已被SoftSnoop终止 2009-5-8 18:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

红尘岁月

发帖

476

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (31) 1 2 ▶
xiaojiam 雪币： 261 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 41 回帖 325 粉丝 0 关注私信	xiaojiam 2 2 楼沙发一下! 2009-4-29 18:47 0
acafeel 雪币： 333 活跃值： (116) 能力值： ( LV9，RANK：570 ) 在线值：发帖 31 回帖 219 粉丝 1 关注私信	acafeel 14 3 楼还没玩过SoftSnoop这东东，感谢楼主这篇文章的引导，幸苦了～另外还不知道该如何向楼主你一样的一步步捕捉过程，楼主能大致说说吗？我也好跟着学习学习～谢谢了～标记备份一下：http://bbs.pediy.com/showthread.php?t=55974 2009-4-29 19:19 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 4 楼 [QUOTE=acafeel;614053]还没玩过SoftSnoop这东东，感谢楼主这篇文章的引导，幸苦了～另外还不知道该如何向楼主你一样的一步步捕捉过程，楼主能大致说说吗？我也好跟着学习学习～谢谢了～标记备份一下：http://bbs.pediy.com/showthread.php?t=55974[/QUOTE] 不是一步步捕捉的，是程序自动捕捉的。我只是把捕捉的日志取了一部分出来而已。 2009-4-29 19:43 0
CuteSnail 雪币： 452 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 342 粉丝 0 关注私信	CuteSnail 2 5 楼请问楼主，这些返回值是你自己注释上去的，还是SoftSnoop本身就给出了这些信息呀？怎么我照着楼主你给的信息对比，没见着这些提示呀！ 2009-4-30 11:42 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 6 楼 SoftSnoop自动添加的,附图上传的附件： 001.gif （25.12kb，790次下载） 2009-4-30 16:00 0
jrs13579 雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 72 粉丝 1 关注私信	jrs13579 7 楼怪事，我载入程序后就停顿在如图所示的地方，请问这是什么原因呀？上传的附件：未命名.JPG （73.96kb，767次下载） 2009-4-30 23:08 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 8 楼因为你安装了微软的kb956572补丁 2009-5-1 15:23 0
jrs13579 雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 72 粉丝 1 关注私信	jrs13579 9 楼查找了一下，系统里面没发现安装了此补丁，另，softsnoop 1.3版可以运行。 2009-5-1 16:05 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 10 楼这个软件不知道还更新不.... 2009-5-1 16:57 0
CuteSnail 雪币： 452 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 342 粉丝 0 关注私信	CuteSnail 2 11 楼我也出现了 jrs13579 所说的情况，使用1.3版本给出的信息又与楼主教程的信息不一样！郁闷呀！楼主能给出个你的SoftSnoop相关配置情况吗？谢谢～ 2009-5-5 20:50 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 12 楼 windows的有些升级包会影响detours库在dll中的调用。楼上的应该是这种情况。至于不能跟出与我教程一样的信息是因为...... 我使用的SoftSnoop被我修改过的附上我修改过的SoftSnoop 已在工具下载区更新： http://bbs.pediy.com/showthread.php?t=91536 2009-5-6 12:46 0
CuteSnail 雪币： 452 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 342 粉丝 0 关注私信	CuteSnail 2 13 楼谢谢红尘岁月大侠分享出了你的专用版本，和你一样的信息了，万分感谢～ 2009-5-6 13:02 0
Loka 雪币： 993 活跃值： (442) 能力值： ( LV12，RANK：403 ) 在线值：发帖 23 回帖 131 粉丝 0 关注私信	Loka 2 14 楼下一个来用，谢谢分享！ 2009-5-6 21:25 0
科维雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 90 粉丝 0 关注私信	科维 15 楼还没试过SoftSnoop，这个也可以的吗？ 2009-5-6 21:40 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 16 楼 [QUOTE=红尘岁月;614041]【文章标题】: 通过api监控程序来破解【文章作者】: 红尘岁月【软件名称】: jjdg编写的crackme 【软件大小】: 28K 【下载地址】: http://bbs.pediy.com/showthread.php?t=87435 【加壳方式】: 无壳【编写语言】: vb ...[/QUOTE] 算法(我的总结): 2084084868，这是我的机器码。程序先判断是什么磁盘格式（系统盘符如果是在C：\），每种情况如下： 1、如果是FAT32的，则用1的3次方值1，2的3次方值8，这两个数加到2084084868后面，即为208408486818，然后把这个数的偶数位先提出来，对提出来的第一个数进行乘方运算，计为数值A；然后再把奇数位提出来，对每一个提出来的数进行乘方运算，其结果计为B，将A和B连到一起就是注册码。 2、如果是NTFS的，算法略有不同，这回不仅是用1、2这两个数的3次方值，还要用到3的3次方值27，得到20840848681827，接下来的算法是先取这个串的奇数位进行乘方，再取这个串的偶数位再乘方，最后把新得到的这两个串连到一起就是注册码。这是文字描述，希望作者可以放出源码，以供交流。不当之处请大家谅解，感谢API破解一文的帮助。 2009-5-7 18:23 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 17 楼如果可以的话,是否可能写出注册机或者是源码? 我在这个算法上C函数用不太好,VB不甚懂. 2009-5-7 18:24 0
MichaelHc 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 46 粉丝 0 关注私信	MichaelHc 18 楼 “api监控程序其实也可以玩破解的。”这个思路还从来没听过，多谢大侠分享！ 2009-5-7 22:45 0
MichaelHc 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 46 粉丝 0 关注私信	MichaelHc 19 楼呃。。。刚才试了下，用红尘岁月大侠修改的SoftSnoop打开jjdg的crackme还是不行。错误提示： “异常：非法访问地址 7C93B21Ah 进程已被SoftSnoop终止” 请问是什么原因啊？ 2009-5-7 23:37 0
jrs13579 雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 72 粉丝 1 关注私信	jrs13579 20 楼同样的错误，晕！建议红尘岁月大侠再次修改SoftSnoop提高可用性！1.3版的可以运行，但是没有红尘岁月大侠修改的效果！ 2009-5-8 00:37 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 21 楼把整个列表的输出文件发给我看一下 2009-5-8 10:51 0
whzr 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 77 粉丝 1 关注私信	whzr 22 楼有新鲜的东西，偶也来尝个鲜！ 2009-5-8 12:22 0
lynxtang 雪币： 1027 活跃值： (256) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 97 粉丝 0 关注私信	lynxtang 23 楼强帖，标记下，学习学习 2009-5-8 13:54 0
jrs13579 雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 72 粉丝 1 关注私信	jrs13579 24 楼开始调试新建进程... -PID: D7Ch 进程句柄: E0h -TID: B50h 线程句柄 D0h TID: 00000B50h: 模块被导入...ntdll.dll Base: 7C920000h 模块被导入...KERNEL32.dll Base: 7C800000h 模块被导入...APISnoop.dll Base: 10000000h 模块被导入...USER32.dll Base: 77D10000h 模块被导入...GDI32.dll Base: 77EF0000h 模块被导入...MSVBVM60.DLL Base: 73390000h 模块被导入...ADVAPI32.dll Base: 77DA0000h 模块被导入...RPCRT4.dll Base: 77E50000h 模块被导入...Secur32.dll Base: 77FC0000h 模块被导入...ole32.dll Base: 76990000h 模块被导入...msvcrt.dll Base: 77BE0000h 模块被导入...OLEAUT32.dll Base: 770F0000h 模块被导入...IMM32.dll Base: 76300000h 模块被导入...LPK.dll Base: 62C20000h 模块被导入...USP10.dll Base: 73FA0000h 开始查找模块..... 查询到模块开始于: 0x00400000 终止于: 0x00407000 模块名称: D:\Personal\Desktop\CrackMe.exe 查询到模块开始于: 0x62C20000 终止于: 0x62C29000 模块名称: LPK.dll 查询到模块开始于: 0x73390000 终止于: 0x734E4000 模块名称: MSVBVM60.DLL 查询到模块开始于: 0x73FA0000 终止于: 0x7400B000 模块名称: USP10.dll 查询到模块开始于: 0x76300000 终止于: 0x7631D000 模块名称: IMM32.dll 查询到模块开始于: 0x76990000 终止于: 0x76ACD000 模块名称: ole32.dll 查询到模块开始于: 0x770F0000 终止于: 0x7717B000 模块名称: OLEAUT32.dll 查询到模块开始于: 0x77BE0000 终止于: 0x77C38000 模块名称: msvcrt.dll 查询到模块开始于: 0x77D10000 终止于: 0x77DA0000 模块名称: USER32.dll 查询到模块开始于: 0x77DA0000 终止于: 0x77E49000 模块名称: ADVAPI32.dll 查询到模块开始于: 0x77E50000 终止于: 0x77EE2000 模块名称: RPCRT4.dll 查询到模块开始于: 0x77EF0000 终止于: 0x77F39000 模块名称: GDI32.dll 查询到模块开始于: 0x77FC0000 终止于: 0x77FD1000 模块名称: Secur32.dll 查询到模块开始于: 0x7C800000 终止于: 0x7C91E000 模块名称: KERNEL32.dll 查询到模块开始于: 0x7C920000 终止于: 0x7C9B3000 模块名称: ntdll.dll 共查找到15个模块. DetourTransactionCommit函数处理中........(10秒内未返回说明调用失败) 异常: 非法访问地址 7C92E4FAh 进程已被SoftSnoop终止 2009-5-8 17:52 0
frip 雪币： 215 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 0 关注私信	frip 25 楼开始调试新建进程... -PID: EB0h 进程句柄: D0h -TID: 754h 线程句柄 B8h TID: 00000754h: 模块被导入...ntdll.dll Base: 7C920000h 模块被导入...KERNEL32.dll Base: 7C800000h 模块被导入...APISnoop.dll Base: 10000000h 模块被导入...USER32.dll Base: 77D10000h 模块被导入...GDI32.dll Base: 77EF0000h 模块被导入...MSVBVM60.DLL Base: 73390000h 模块被导入...ADVAPI32.dll Base: 77DA0000h 模块被导入...RPCRT4.dll Base: 77E50000h 模块被导入...Secur32.dll Base: 77FC0000h 模块被导入...ole32.dll Base: 76990000h 模块被导入...msvcrt.dll Base: 77BE0000h 模块被导入...OLEAUT32.dll Base: 770F0000h 模块被导入...IMM32.dll Base: 76300000h 模块被导入...LPK.dll Base: 62C20000h 模块被导入...USP10.dll Base: 73FA0000h 开始查找模块..... 查询到模块开始于: 0x00400000 终止于: 0x00407000 模块名称: C:\Documents and Settings\Administrator\桌面\CrackMe\CrackMe.exe 查询到模块开始于: 0x62C20000 终止于: 0x62C29000 模块名称: LPK.dll 查询到模块开始于: 0x73390000 终止于: 0x734E3000 模块名称: MSVBVM60.DLL 查询到模块开始于: 0x73FA0000 终止于: 0x7400B000 模块名称: USP10.dll 查询到模块开始于: 0x76300000 终止于: 0x7631D000 模块名称: IMM32.dll 查询到模块开始于: 0x76990000 终止于: 0x76ACD000 模块名称: ole32.dll 查询到模块开始于: 0x770F0000 终止于: 0x7717B000 模块名称: OLEAUT32.dll 查询到模块开始于: 0x77BE0000 终止于: 0x77C38000 模块名称: msvcrt.dll 查询到模块开始于: 0x77D10000 终止于: 0x77DA0000 模块名称: USER32.dll 查询到模块开始于: 0x77DA0000 终止于: 0x77E49000 模块名称: ADVAPI32.dll 查询到模块开始于: 0x77E50000 终止于: 0x77EE2000 模块名称: RPCRT4.dll 查询到模块开始于: 0x77EF0000 终止于: 0x77F39000 模块名称: GDI32.dll 查询到模块开始于: 0x77FC0000 终止于: 0x77FD1000 模块名称: Secur32.dll 查询到模块开始于: 0x7C800000 终止于: 0x7C91E000 模块名称: KERNEL32.dll 查询到模块开始于: 0x7C920000 终止于: 0x7C9B6000 模块名称: ntdll.dll 共查找到15个模块. DetourTransactionCommit函数处理中........(10秒内未返回说明调用失败) 异常: 非法访问地址 7C92E51Ah 进程已被SoftSnoop终止 2009-5-8 18:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复