- UID
- 12841
注册时间2006-5-11
阅读权限10
最后登录1970-1-1
周游历练
该用户从未签到
|
【文章标题】: QQ好友群发机 2.53 内存注册机制作
【文章作者】: 给你阳光
【作者邮箱】: [email protected]
【作者QQ号】: 195018614
【软件名称】: QQ好友群发机 2.53
【软件大小】: 1.47 MB
【下载地址】: http://www.skycn.com/soft/30042.html
【加壳方式】: ASPack
【保护方式】: 用户名+注册码+重启验证
【编写语言】: Delphi
【使用工具】: PEiD0.94 ,OD1.1
【操作平台】: Win9x/WinNT/Win2000/WinXP/...
【软件介绍】: 本软件是一款功能强大操作简便的QQ好友消息群发软件
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
1.PEiD0.94 查壳,得知使用的是ASPack保护,ESP定律脱壳。
2.运行脱壳后文件,并尝试注册,发现是重启验证方式。(刚刚输入的注册名和假码要牢记,便于后面的工作)
3.OD 载入,来到如下代码区域
004D8D34 > $ 55 PUSH EBP ; // 程序入口处
004D8D35 . 8BEC MOV EBP,ESP
004D8D37 . 83C4 F0 ADD ESP,-10
004D8D3A . 53 PUSH EBX
004D8D3B . B8 B4884D00 MOV EAX,qqsender.004D88B4
004D8D40 . E8 CFDDF2FF CALL qqsender.00406B14
004D8D45 . 8B1D DCC24D00 MOV EBX,DWORD PTR DS:[4DC2DC] ; qqsender.004DDC38
004D8D4B . 8B03 MOV EAX,DWORD PTR DS:[EBX]
4.分析ASCII 代码,因为是重启验证的方式,我们可以寻找一些比较“敏感”字符,譬如我找的是“- 未购买用户”
我们可以看到如下ASCII信息
004D818BMOV EDX,qqsender.004D828C Software\qqsender ; // 很明显是注册表方式注册
004D819AMOV EDX,qqsender.004D82A8 RegUser ; // 用户名
004D81B6MOV EDX,qqsender.004D82B8 RegNo ; // 注册信息(在此处“回车”)
004D81C9MOV EDX,qqsender.004D82C8 qqsenderChina
004D820DMOV EDX,qqsender.004D82E0 - 未购买用户
004D82FEMOV ECX,qqsender.004D8330 提示
004D8303MOV EDX,qqsender.004D8338 本软件需要注册后才能无限制使用,
5.回车后,我们来到反汇编窗口,看到如下代码:
004D81B6 . BA B8824D00MOV EDX,qqsender.004D82B8 RegNo // F2 在此处下断
004D81BB . 8BC3 MOV EAX,EBX
004D81BD . E8 36A5F8FFCALL qqsender.004626F8
004D81C2 . 8B45 EC MOV EAX,DWORD PTR SS:[EBP-14]
004D81C5 . 50 PUSH EAX
6.F8 单步,如下代码(注意观察寄存器及堆栈窗口提示信息!)
004D81B6 |. BA B8824D00 MOV EDX,qqsender.004D82B8 ; // F2 下断
004D81BB |. 8BC3 MOV EAX,EBX
004D81BD |. E8 36A5F8FF CALL qqsender.004626F8
004D81C2 |. 8B45 EC MOV EAX,DWORD PTR SS:[EBP-14] ; //获取假码
004D81C5 |. 50 PUSH EAX
004D81C6 |. 8D4D E8 LEA ECX,DWORD PTR SS:[EBP-18]
004D81C9 |. BA C8824D00 MOV EDX,qqsender.004D82C8 ; qqsenderChina
004D81CE |. A1 ECE44D00 MOV EAX,DWORD PTR DS:[4DE4EC]
004D81D3 |. E8 CCDAFFFF CALL qqsender.004D5CA4 ; //用户名寄存器窗口出现可疑字符组合
004D81D8 |. 8B55 E8 MOV EDX,DWORD PTR SS:[EBP-18]
004D81DB |. 58 POP EAX ; //发现应该是真码
004D81DC |. E8 9BC7F2FF CALL qqsender.0040497C ; //比较真码 EDX 可尝试注册机
004D81E1 |. 75 07 JNZ SHORT qqsender.004D81EA
004D81E3 |. C605 E8E44D00>MOV BYTE PTR DS:[4DE4E8],1
004D81EA |> 8BC3 MOV EAX,EBX
7.利用KeyMake 制作注册机
中断地址:4D81DC
中断次数:1
第一字节:E8
指令长度:5
内存方式→寄存器→EDX→保存→生成
8.其他:这类破解我们可以尝试一些比较敏感的字符信息,未必要使用诸多断点命令等。
--------------------------------------------------------------------------------
【经验总结】
没啥好说的,只是出于好奇而已。
利用同样的方法可以试试破解并制作其自带的“终极QQ消息群发大师”小工具的注册机。
--------------------------------------------------------------------------------
【版权声明】: 本文原创于 PYG技术 论坛, 转载请注明作者并保持文章的完整, 谢谢!
2008年09月18日 0:04:52 |
评分
-
查看全部评分
|
IP卡
发表于 2008-9-18 00:07:20
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2008-9-18 06:34:33
发表于 2008-9-18 08:43:34