[讨论]菜鸟的第一次破解 [提示注册成功，重启后还没注册] 请高手指点-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]菜鸟的第一次破解 [提示注册成功，重启后还没注册] 请高手指点

发表于: 2005-1-12 17:23 5375

[讨论]菜鸟的第一次破解 [提示注册成功，重启后还没注册] 请高手指点

cccp

2005-1-12 17:23

5375

首先，我是菜鸟，我刚看了几篇文章，觉得还是动手锻炼一下比较好，于是，我从单位购买的正版工资软件（绝对正版）开始，因为我觉得它应该不会加壳，编程语言应该是VB。
该程序有注册菜单项，注册成功后会消失。
我不会别的，觉得静态反汇编比较简单，就从这里着手。
源程序我上传到这里：http://cccp999.ys168.com

过程如下：
1、用w32dasm载入，果真没有加壳，语言为VB

2、我用的w32dasm不支持中文，找了好几个版本也不行，最后改用c32asm

3、查找字符串“注册码不正确”，到这里：

::00573BBC::  B9 04000280             MOV ECX,80020004                      \:BYJMP JmpBy:005737DE,
::00573BC1::  B8 0A000000             MOV EAX,A
::00573BC6::  894D 88                MOV [EBP-78],ECX
::00573BC9::  894D 98                MOV [EBP-68],ECX
::00573BCC::  894D A8                MOV [EBP-58],ECX
::00573BCF::  8D95 50FFFFFF          LEA EDX,[EBP-B0]
::00573BD5::  8D4D B0                LEA ECX,[EBP-50]
::00573BD8::  8945 80                MOV [EBP-80],EAX
::00573BDB::  8945 90                MOV [EBP-70],EAX
::00573BDE::  8945 A0                MOV [EBP-60],EAX
::00573BE1::  C785 58FFFFFF 78114400 MOV DWORD PTR [EBP-A8],441178             \->: 注册码不正确

3、向上查找跳转语句的源头到005737DE这里
::005737D7::  66:399D 0CFFFFFF       CMP [EBP-F4],BX
::005737DE::  0F84 D8030000          JE 00573BBC                            \:JMPDOWN

4、将 0F84 改为0F85 (就是把 JE 改为 JNE），保存

5、运行程序，输入注册码，提示成功，要求重启。

6、重启后发现注册信息提示还是未注册，注册菜单仍然存在。

7、郁闷到现在！

请高手指点一下。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・0

支持

最新回复 (14)
vifun 雪币： 208 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 57 粉丝 0 关注私信	vifun 1 2 楼其他地方还有比较，你没有打扫干净，呵呵 2005-1-12 17:38 0
cccp 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	cccp 3 楼兄弟能否指点一二我找个地方把程序传上去？ 2005-1-12 17:43 0
vcboy 雪币： 229 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 67 粉丝 0 关注私信	vcboy 4 楼 :D 兄弟爆的也太简单了吧！～～～ 2005-1-12 17:46 0
cccp 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	cccp 5 楼呵呵，我就是从昨天才开始研究的要不咋说是超级菜鸟呢源文件我放在了 http://cccp999.ys168.com 上，欢迎各位朋友指点一下，让菜鸟学点东东。 2005-1-12 17:51 0
tcflying 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 50 粉丝 0 关注私信	tcflying 6 楼 http://cccp999.ys168.com 上不去。。。。。。。。。。。。 2005-1-12 19:07 0
cccp 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	cccp 7 楼我这可以啊试试这个地址 http://free.ys168.com/?cccp999 注意火狐浏览器无法访问 2005-1-12 19:09 0
larblue 雪币： 176 活跃值： (117) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 162 粉丝 0 关注私信	larblue 2 8 楼断__vbaStrComp吧用户名:larblue SN:Nx0rpfvfEhmbv 2005-1-12 20:18 0
larblue 雪币： 176 活跃值： (117) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 162 粉丝 0 关注私信	larblue 2 9 楼补充下软件每次启动后会检测gz.ini 这个文件注册信息保存在最下面如果要爆破的话这里也要爆 [Register] Licence=larblue Serial=Nx0rpfvfEhmbv 2005-1-12 20:23 0
cccp 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	cccp 10 楼先谢了，本就有注册码，主要是为了学习技术而破的我再去研究研究 2005-1-12 20:28 0
larblue 雪币： 176 活跃值： (117) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 162 粉丝 0 关注私信	larblue 2 11 楼给你个提示用OD动态调试载入后运行用命令行下断点 bp __vbaStrComp 输入用户、序列号点确定立即被拦住了这时能看见输入的用户名按F9 这时又断住可以看见用户名被转成16进制然后每字节16进制加32再按F9 可以看到真假注册码比较真注册码是上面的用户名转化后去掉第一位。。。以后的自己琢磨吧 2005-1-12 20:49 0
cccp 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	cccp 12 楼本想只靠静态反汇编搞定，因为我刚学，别的还不会看来不行先装个OD研究研究 2005-1-12 21:04 0
小勇雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	小勇 13 楼最初由 larblue 发布给你个提示用OD动态调试载入后运行用命令行下断点 bp __vbaStrComp 输入用户、序列号 ........ 怪了，我在98下用trw2000无法用__vbaStrComp断下程序，在xp 上用od也无法用__vbaStrComp断下程序，程序总是自顾自的跳出“注册码不正确”的对话框，我倒！！！什么问题啊 2005-1-13 14:34 0
cccp 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	cccp 14 楼好像不是 bp __vbaStrComp 而因该是 bp __vbaStrCmp 2005-1-13 17:06 0
小勇雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	小勇 15 楼 :o 总算搞定了，弄了半天后，发现不能中断的原因居然是内存中有一个和msvbvm60.dll中的函数一样的expsrv.dll文件存在，比如下断__vbaStrComp，因为在expsrv.dll中也有一个__vbaStrComp，而trw2000设的断点就在expsrv.dll中，所以应用程序用到msvbvm60中的__vbaStrComp时就没法断下来了，解决办法是下断点是指明断点模块，比如bpx msvbvm60!__vbsStrComp这样就能正常断下来了，呵呵。 [Register] Licence=xiaoyong Serial=hxYBus@smhs&uwf 2005-1-13 22:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cccp

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
vifun 雪币： 208 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 57 粉丝 0 关注私信	vifun 1 2 楼其他地方还有比较，你没有打扫干净，呵呵 2005-1-12 17:38 0
cccp 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	cccp 3 楼兄弟能否指点一二我找个地方把程序传上去？ 2005-1-12 17:43 0
vcboy 雪币： 229 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 67 粉丝 0 关注私信	vcboy 4 楼 :D 兄弟爆的也太简单了吧！～～～ 2005-1-12 17:46 0
cccp 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	cccp 5 楼呵呵，我就是从昨天才开始研究的要不咋说是超级菜鸟呢源文件我放在了 http://cccp999.ys168.com 上，欢迎各位朋友指点一下，让菜鸟学点东东。 2005-1-12 17:51 0
tcflying 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 50 粉丝 0 关注私信	tcflying 6 楼 http://cccp999.ys168.com 上不去。。。。。。。。。。。。 2005-1-12 19:07 0
cccp 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	cccp 7 楼我这可以啊试试这个地址 http://free.ys168.com/?cccp999 注意火狐浏览器无法访问 2005-1-12 19:09 0
larblue 雪币： 176 活跃值： (117) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 162 粉丝 0 关注私信	larblue 2 8 楼断__vbaStrComp吧用户名:larblue SN:Nx0rpfvfEhmbv 2005-1-12 20:18 0
larblue 雪币： 176 活跃值： (117) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 162 粉丝 0 关注私信	larblue 2 9 楼补充下软件每次启动后会检测gz.ini 这个文件注册信息保存在最下面如果要爆破的话这里也要爆 [Register] Licence=larblue Serial=Nx0rpfvfEhmbv 2005-1-12 20:23 0
cccp 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	cccp 10 楼先谢了，本就有注册码，主要是为了学习技术而破的我再去研究研究 2005-1-12 20:28 0
larblue 雪币： 176 活跃值： (117) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 162 粉丝 0 关注私信	larblue 2 11 楼给你个提示用OD动态调试载入后运行用命令行下断点 bp __vbaStrComp 输入用户、序列号点确定立即被拦住了这时能看见输入的用户名按F9 这时又断住可以看见用户名被转成16进制然后每字节16进制加32再按F9 可以看到真假注册码比较真注册码是上面的用户名转化后去掉第一位。。。以后的自己琢磨吧 2005-1-12 20:49 0
cccp 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	cccp 12 楼本想只靠静态反汇编搞定，因为我刚学，别的还不会看来不行先装个OD研究研究 2005-1-12 21:04 0
小勇雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	小勇 13 楼最初由 larblue 发布给你个提示用OD动态调试载入后运行用命令行下断点 bp __vbaStrComp 输入用户、序列号 ........ 怪了，我在98下用trw2000无法用__vbaStrComp断下程序，在xp 上用od也无法用__vbaStrComp断下程序，程序总是自顾自的跳出“注册码不正确”的对话框，我倒！！！什么问题啊 2005-1-13 14:34 0
cccp 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	cccp 14 楼好像不是 bp __vbaStrComp 而因该是 bp __vbaStrCmp 2005-1-13 17:06 0
小勇雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	小勇 15 楼 :o 总算搞定了，弄了半天后，发现不能中断的原因居然是内存中有一个和msvbvm60.dll中的函数一样的expsrv.dll文件存在，比如下断__vbaStrComp，因为在expsrv.dll中也有一个__vbaStrComp，而trw2000设的断点就在expsrv.dll中，所以应用程序用到msvbvm60中的__vbaStrComp时就没法断下来了，解决办法是下断点是指明断点模块，比如bpx msvbvm60!__vbsStrComp这样就能正常断下来了，呵呵。 [Register] Licence=xiaoyong Serial=hxYBus@smhs&uwf 2005-1-13 22:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复