【文章标题】: IEHistoryX爆破手记 (超简单,高手请飘过)
【文章作者】: _抽煙│.
【作者邮箱】: [email]398807337@qq.com[/email]
【作者QQ号】: 398807337
【软件名称】: IEHistoryX
【软件大小】: 467 KB
【下载地址】: 官方网站:http://www.585soft.com/
【加壳方式】: 无
【保护方式】: 无
【使用工具】: OD
【操作平台】: win xp
【软件介绍】:一个可以搜索，查看，以及有选择性的删除ie历史记录，cookie文件，
                         ie缓存文件，url记录以及自动输入的信息（如搜索历史，保存的密码）的简单易用的工具
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  OD载入
  00481D74 > $  E8 15CB0000   call    0048E88E
  00481D79   .^ E9 79FEFFFF   jmp     00481BF7
  00481D7E      CC            int3
  00481D7F      CC            int3
  00481D80  /$  68 80E64700   push    0047E680
  00481D85  |.  64:FF35 00000>push    dword ptr fs:[0]
  00481D8C  |.  8B4424 10     mov     eax, [esp+10]
  
  右键字符串参考 查找unicode
  
  查找this is a fully functional
  找到Ultra 字符串参考，项目 38
   地址=00405543
   反汇编=push HistoryX.0049BB78
   文本字符串=licensed to: <font color='#ff0000'><b>unregistered</b></font><br><br>this is a fully functional unregistered version for evaluat
  
  双击来到
  00405541   /75 1F                    jnz short HistoryX.00405562
  00405543   |68 78BB4900              push HistoryX.0049BB78                     ; licensed to: <font color='#ff0000'><b>unregistered</b></font><br><br>this is a fully functional unregistered version for evaluat
  00405548   |68 78BB4900              push HistoryX.0049BB78                     ; licensed to: <font color='#ff0000'><b>unregistered</b></font><br><br>this is a fully functional unregistered version for evaluat
  0040554D   |FF15 6CB34900            call dword ptr ds:[<&KERNEL32.lstrlenW>]   ; kernel32.lstrlenW
  00405553   |50                       push eax
  00405554   |8D4C24 1C                lea ecx,dword ptr ss:[esp+1C]
  00405558   |E8 73C1FFFF              call HistoryX.004016D0
  0040555D   |E9 81000000              jmp HistoryX.004055E3
  00405562   \8B15 24F04A00            mov edx,dword ptr ds:[4AF024]              ; HistoryX.004AF01C
  00405568    895424 1C                mov dword ptr ss:[esp+1C],edx
  0040556C    8D8424 AC000000          lea eax,dword ptr ss:[esp+AC]
  00405573    50                       push eax
  00405574    8D4C24 20                lea ecx,dword ptr ss:[esp+20]
  00405578    68 E8BA4900              push HistoryX.0049BAE8                     ; licensed to: <b>%s</b><br><br><b>thank you for using our software!</b>
  
  ***************************************************************************************
  00405541   /75 1F                    jnz short HistoryX.00405562   \\这个就是关键跳了 改成jmp就可以了
  
--------------------------------------------------------------------------------
【经验总结】

  软件本身是没有中文的 但是注册购买页面就有中文 这是为什么呢?
  
--------------------------------------------------------------------------------
【版权声明】: 转载请注明作者并保持文章的完整, 谢谢!
                                                       2009年05月03日 23:18:44

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课