设为首页收藏本站官方微博
开启辅助访问 切换到窄版

飘云阁

 找回密码
 加入我们

QQ登录

只需一步,快速开始

[x86]PYG官方Dll优雅破解补丁制作工具[x64]PYG官方DLL优雅破解补丁制作工具[x86]PYG官方Exe优雅破解补丁制作工具[x86/x64]Baymax Patch Tools飘云阁工具包(已更新第4季)
返回列表 发新帖
查看: 4173|回复: 9

[原创] 键盘记录器 7.1 简单分析

[复制链接]
Nisy

该用户从未签到
发表于 2007-9-3 19:06:47 | 显示全部楼层 |阅读模式
软件大小:142KB
软件类别:国产软件/系统监视  
下载次数: 软件授权:共享版
软件语言:简体中文
运行环境:Win9x/Me/NT/2000/XP/2003
更新时间:2007-9-3 16:53:56
联 系 人:pass_killer163.com  

华军下载:http://nmas.onlinedown.net/soft/50911.htm


下载测试了一下 杀软果然不杀, 但我QQ的密码也没被他记录下来呀 /:017  莫非放到其他地方了? 还好我的防火墙没有任何提示~~

monitor.exe 这个就是验证是否注册的程序 OD附加 找到如下记录点:



  3. 00402E96    6A FF           push    -1
  4. 00402E98    68 D0824200     push    004282D0
  5. 00402E9D    50              push    eax
  6. 00402E9E    64:8925 0000000>mov     dword ptr fs:[0], esp
  7. 00402EA5    83EC 08         sub     esp, 8
  8. 00402EA8    55              push    ebp
  9. 00402EA9    56              push    esi
  10. 00402EAA    57              push    edi
  11. 00402EAB    8BE9            mov     ebp, ecx
  12. 00402EAD    E8 1E110000     call    00403FD0
  13. 00402EB2    8BF8            mov     edi, eax
  14. 00402EB4    85FF            test    edi, edi
  15. 00402EB6    0F84 DC000000   je      00402F98
  16. 00402EBC    E8 9F0B0000     call    00403A60
  17. 00402EC1    8BF0            mov     esi, eax
  18. 00402EC3    85F6            test    esi, esi
  19. 00402EC5    0F84 CD000000   je      00402F98
  20. 00402ECB    A1 90454300     mov     eax, dword ptr [434590]
  21. 00402ED0    894424 10       mov     dword ptr [esp+10], eax
  22. 00402ED4    C74424 1C 00000>mov     dword ptr [esp+1C], 0
  23. 00402EDC    894424 0C       mov     dword ptr [esp+C], eax
  24. 00402EE0    8D4424 10       lea     eax, dword ptr [esp+10]
  25. 00402EE4    8D8D 98000000   lea     ecx, dword ptr [ebp+98]
  26. 00402EEA    50              push    eax
  27. 00402EEB    C64424 20 01    mov     byte ptr [esp+20], 1
  28. 00402EF0    E8 68AD0100     call    0041DC5D
  29. 00402EF5    8D4C24 0C       lea     ecx, dword ptr [esp+C]
  30. 00402EF9    51              push    ecx
  31. 00402EFA    8D4D 5C         lea     ecx, dword ptr [ebp+5C]
  32. 00402EFD    E8 5BAD0100     call    0041DC5D                                    ; 在这里
  33. 00402F02    8B4424 10       mov     eax, dword ptr [esp+10]
  34. 00402F06    8B16            mov     edx, dword ptr [esi]
  35. 00402F08    50              push    eax
  36. 00402F09    56              push    esi
  37. 00402F0A    FF52 10         call    dword ptr [edx+10]
  38. 00402F0D    8B5424 0C       mov     edx, dword ptr [esp+C]
  39. 00402F11    8B0E            mov     ecx, dword ptr [esi]
  40. 00402F13    52              push    edx
  41. 00402F14    56              push    esi
  42. 00402F15    FF51 14         call    dword ptr [ecx+14]
  43. 00402F18    8B06            mov     eax, dword ptr [esi]
  44. 00402F1A    56              push    esi
  45. 00402F1B    FF50 18         call    dword ptr [eax+18]                            // 跟进该CALL
  46. 00402F1E    84C0            test    al, al                                      ; 标志位比较
  47. 00402F20    6A 00           push    0
  48. 00402F22    75 13           jnz     short 00402F37                              ; 不跳则挂
  49. 00402F24    68 98384300     push    00433898                                    ; ASCII "Warning"
  50. 00402F29    68 84384300     push    00433884
  51. 00402F2E    8BCD            mov     ecx, ebp
  52. 00402F30    E8 DEB80100     call    0041E813
  53. 00402F35    EB 3C           jmp     short 00402F73
  54. 00402F37    68 78384300     push    00433878                                    ; ASCII "Infomation"
  55. 00402F3C    68 6C384300     push    0043386C
  56. 00402F41    8BCD            mov     ecx, ebp
  57. 00402F43    E8 CBB80100     call    0041E813
  58. 00402F48    8B0F            mov     ecx, dword ptr [edi]
  59. 00402F4A    68 5C384300     push    0043385C                                    ; ASCII "keyboardlog.ini"
  60. 00402F4F    57              push    edi
  61. 00402F50    FF51 10         call    dword ptr [ecx+10]
  62. 00402F53    8B4424 10       mov     eax, dword ptr [esp+10]
  63. 00402F57    8B17            mov     edx, dword ptr [edi]
  64. 00402F59    50              push    eax
  65. 00402F5A    68 50384300     push    00433850                                    ; ASCII "UserName"
  66. 00402F5F    57              push    edi
  67. 00402F60    FF52 1C         call    dword ptr [edx+1C]
  68. 00402F63    8B5424 0C       mov     edx, dword ptr [esp+C]
  69. 00402F67    8B0F            mov     ecx, dword ptr [edi]
  70. 00402F69    52              push    edx
  71. 00402F6A    68 44384300     push    00433844                                    ; ASCII "UserCode"
  72. 00402F6F    57              push    edi
  73. 00402F70    FF51 1C         call    dword ptr [ecx+1C]
  74. 00402F73    8B07            mov     eax, dword ptr [edi]
  75. 00402F75    57              push    edi
  76. 00402F76    FF50 04         call    dword ptr [eax+4]
  77. 00402F79    8D4C24 0C       lea     ecx, dword ptr [esp+C]
  78. 00402F7D    C64424 1C 00    mov     byte ptr [esp+1C], 0
  79. 00402F82    E8 00D40100     call    00420387
  80. 00402F87    8D4C24 10       lea     ecx, dword ptr [esp+10]
  81. 00402F8B    C74424 1C FFFFF>mov     dword ptr [esp+1C], -1
  82. 00402F93    E8 EFD30100     call    00420387
  83. 00402F98    8BCD            mov     ecx, ebp
  84. 00402F9A    E8 DE9C0100     call    0041CC7D
  85. 00402F9F    8B4C24 14       mov     ecx, dword ptr [esp+14]
  86. 00402FA3    5F              pop     edi
  87. 00402FA4    5E              pop     esi
  88. 00402FA5    5D              pop     ebp
  89. 00402FA6    64:890D 0000000>mov     dword ptr fs:[0], ecx
  90. 00402FAD    83C4 14         add     esp, 14
  91. 00402FB0    C3              retn


  94. 跟进关键CALL 00402F1B:

  96. 00403B60    E8 CB000000     call    00403C30
  97. 00403B65    8BF0            mov     esi, eax
  98. 00403B67    85F6            test    esi, esi                                    ; monitor.00438448
  99. 00403B69    75 09           jnz     short 00403B74
  100. 00403B6B    32C0            xor     al, al
  101. 00403B6D    5E              pop     esi
  102. 00403B6E    83C4 0C         add     esp, 0C
  103. 00403B71    C2 0400         retn    4

  105. 小做修改 使AL返回数值为01:

  107. 00403B67    85F6            test    esi, esi                                    ; monitor.00438448
  108. 00403B69    32C0            xor     al, al
  109. 00403B6B    FEC0            inc     al
  110. 00403B6D    5E              pop     esi
  111. 00403B6E    83C4 0C         add     esp, 0C
  112. 00403B71    C2 0400         retn    4
复制代码


最后一步 生成破解DLL文件 放到原目录即可成为注册版

简单提示下: 作者的设计思路应该是这样的 做一个时间函数 然后每到一分钟后检测一下是否注册 若不注册则弹出注册对话框 不妨这样做一些验证思路的修改  每隔1分钟,10分钟,半小时,一小时,5小时来做一次验证,/:017  这样的话 就得逼迫调试者来分析算法了 时间有限 不再弄这程序了 只是好奇想测试下杀软是否杀它而已.
记录器, 键盘

LPK.rar

8.69 KB, 下载次数: 7, 下载积分: 飘云币 -2 枚

破解DLL文件

评分

参与人数 1威望 +20 飘云币 +20 收起 理由
tigerisme + 20 + 20 感谢分享

查看全部评分

相关帖子

PYG19周年生日快乐!
回复

使用道具 举报

Nisy

该用户从未签到
 楼主| 发表于 2007-9-3 19:10:38 | 显示全部楼层
PS: 没事别装这种程序  /:017
PYG19周年生日快乐!
回复 支持 反对

使用道具 举报

pw2000

该用户从未签到
发表于 2007-9-3 20:23:00 | 显示全部楼层
谢谢Nisy大哥分享。
PYG19周年生日快乐!
回复 支持 反对

使用道具 举报

Nisy

该用户从未签到
 楼主| 发表于 2007-9-4 07:45:00 | 显示全部楼层
以上的是搞定不再弹出对话框 还有一处验证 由于是调用我们修改后的CALL 所以此暗桩飞走~~


  2. 004031C7    E8 040E0000     call    00403FD0
  3. 004031CC    8BF0            mov     esi, eax
  4. 004031CE    85F6            test    esi, esi
  5. 004031D0    74 42           je      short 00403214
  6. 004031D2    8B06            mov     eax, dword ptr [esi]
  7. 004031D4    68 5C384300     push    0043385C                         ; keyboardlog.ini
  8. 004031D9    56              push    esi
  9. 004031DA    FF50 10         call    dword ptr [eax+10]
  10. 004031DD    8B0E            mov     ecx, dword ptr [esi]
  11. 004031DF    8D5424 04       lea     edx, dword ptr [esp+4]
  12. 004031E3    68 80000000     push    80
  13. 004031E8    52              push    edx
  14. 004031E9    6A 00           push    0
  15. 004031EB    68 50384300     push    00433850                         ; UserName
  16. 004031F0    56              push    esi
  17. 004031F1    FF51 18         call    dword ptr [ecx+18]
  18. 004031F4    8B06            mov     eax, dword ptr [esi]
  19. 004031F6    8D8C24 84000000 lea     ecx, dword ptr [esp+84]
  20. 004031FD    68 80000000     push    80
  21. 00403202    51              push    ecx
  22. 00403203    6A 00           push    0
  23. 00403205    68 44384300     push    00433844                         ; UserCode
  24. 0040320A    56              push    esi
  25. 0040320B    FF50 18         call    dword ptr [eax+18]
  26. 0040320E    8B16            mov     edx, dword ptr [esi]
  27. 00403210    56              push    esi
  28. 00403211    FF52 04         call    dword ptr [edx+4]
  29. 00403214    E8 47080000     call    00403A60
  30. 00403219    8BF0            mov     esi, eax
  31. 0040321B    85F6            test    esi, esi
  32. 0040321D    74 2B           je      short 0040324A
  33. 0040321F    8B06            mov     eax, dword ptr [esi]
  34. 00403221    8D4C24 04       lea     ecx, dword ptr [esp+4]
  35. 00403225    51              push    ecx
  36. 00403226    56              push    esi
  37. 00403227    FF50 10         call    dword ptr [eax+10]
  38. 0040322A    8B16            mov     edx, dword ptr [esi]
  39. 0040322C    8D8424 84000000 lea     eax, dword ptr [esp+84]
  40. 00403233    50              push    eax
  41. 00403234    56              push    esi
  42. 00403235    FF52 14         call    dword ptr [edx+14]
  43. 00403238    8B0E            mov     ecx, dword ptr [esi]
  44. 0040323A    56              push    esi
  45. 0040323B    FF51 18         call    dword ptr [ecx+18]               ; 这里就是访问我们的修改的关键CALL
  46. 0040323E    84C0            test    al, al                           ; 得到返回数值为AL=1
  47. 00403240    75 08           jnz     short 0040324A
  48. 00403242    5E              pop     esi
  49. 00403243    81C4 00010000   add     esp, 100
  50. 00403249    C3              retn
  51. 0040324A    B0 01           mov     al, 1
  52. 0040324C    5E              pop     esi
  53. 0040324D    81C4 00010000   add     esp, 100
  54. 00403253    C3              retn
复制代码
PYG19周年生日快乐!
回复 支持 反对

使用道具 举报

VC8
  • TA的每日心情
    开心
    2019-3-15 21:05

    • 签到天数: 5 天

    [LV.2]偶尔看看I
    发表于 2007-9-4 07:50:58 | 显示全部楼层
    占个沙发,好好学习,感谢分享:loveliness:
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    dreamz

    该用户从未签到
    发表于 2007-9-4 07:52:37 | 显示全部楼层
    好帖子哇,学习一下/:good
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    wck
  • TA的每日心情
    开心
    2023-11-27 08:26

    • 签到天数: 525 天

    [LV.9]以坛为家II
    发表于 2007-9-4 08:14:46 | 显示全部楼层
    感谢分享
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    网际飞鹰

    该用户从未签到
    发表于 2007-9-5 14:56:41 | 显示全部楼层
    学习了一下,,很好的教程 ,,谢谢老大
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    youcn28
  • TA的每日心情
    开心
    2016-5-8 22:10

    • 签到天数: 2 天

    [LV.1]初来乍到
    发表于 2007-9-13 22:17:35 | 显示全部楼层
    谢谢分享,受用。。。
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    iXie5
  • TA的每日心情
    开心
    2021-6-21 09:05

    • 签到天数: 339 天

    [LV.8]以坛为家I
    发表于 2007-9-14 12:28:07 | 显示全部楼层
    不错哦 .应该支持下下.,,
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    返回列表 发新帖
    高级模式
    B Color Image Link Quote Code Smilies
    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    快速回复 返回顶部 返回列表