|
|
昨天晚上申请的论坛帐号,在论坛逛时发现一编程学习方面软件
指令字典2005XT,就下载了下来
程序只要一打开就提示说试用十天
先去掉这个nag
查壳发现是vb编写的,vb编的程序破起来就是让人郁闷
首先用LocPlus来修改下这个提示里的文字以便我门后面定位nag
直接找的话是乱码
打开LocPlus 特殊->查找vb字串->加载程序->选中非限制查找->在文件外部修改
自动打开了包含程序里字符串的txt文件。
找到那个提示十天的东西,我把他改成了六个a,选择空格填充
接着保存一下这个txt文件。
回到LocPlus选替换->替换字串->选中vb字串和多余补空格
现在再打开程序,提示内容就变成了六个a。
w32asm打开修改后的文件,查看参考字符串,找到那六个a,双击到达代码。
* Possible StringData Ref from Code Obj ->"aaaaaa "
:005C5D58 C745A090474000 mov [ebp-60], 00404790\\到了这里
:005C5D5F C7459808000000 mov [ebp-68], 00000008
往代码上面看发现
|:00408B14(U)\\右键返回,看看它跳的多么逍遥
:005C5CE0 55 push ebp
:005C5CE1 8BEC mov ebp, esp
:005C5CE3 83EC0C sub esp, 0000000C
返回到这里
:00408B0C 816C2404AB000000 sub dword ptr [esp+04], 000000AB
:00408B14 E9C7D11B00 jmp 005C5CE0\\跳到了这里
:00408B19 816C2404B7000000 sub dword ptr [esp+04], 000000B7
:00408B21 E94AD71B00 jmp 005C6270
接着就是很多的sub jmp看到这个sub jmp一大堆聚在一起开会,
是程序启动时在formload中执行的一些初始化操作,包括每一个动作(按钮动作、label点
击动作)
接着开od,下00408B0C的中断,f9跑起就中断在这里了,接着就发现执行到00408B21之后,
出现了程序界面
马上改00408B14的jmp 005C5CE0为jmp 005C6270
保存程序后,讨厌的nag消失!!
但程序打开后最下面一栏左边显示的按钮只有你点击不同的语言时才会出现相应的功能
至于那个十天过期,我把系统时间修改成三十天以后
程序依然正常运转。
至于那个不能看delphi和java,我看了一下它的文件目录DelphiDAT和JAVADAT里面根本没有
作者在注册里提到的也许就这一点,原文件本来就不完整.添加功能这种事情我是做不来的.
ps:刚申请的论坛号,发现很多好的文件比如算法工具什么的论坛提示我没权限下载和查看,
不知道到什么时候能下载那些东西.
另外我没权限传大于140 kb的文件,想下载的朋友可以到下面地址下载:
http://fuyuhao.gbaopan.com/files/90c37b8ca13c4ed8a7c46c891cfbef07.gbp |
评分
-
查看全部评分
|
IP卡
发表于 2007-5-1 17:17:10
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2007-5-1 20:29:49
发表于 2007-5-2 06:25:46
发表于 2007-5-2 08:10:24
发表于 2007-5-2 16:44:42
发表于 2007-9-19 11:16:58
