申请加入[PYG]破文2

N-klen

【破文标题】WinXP总管4.6.x-4.9.3注册码提取
【软件名称】WinXP总管[WinXP Manager] 4.9.3 简体版
【软件介绍】 WinXP 总管》是优化和设置Windows XP的软件，它里面集成了超过25个不同的功能，它会让你的系统变得更苗条、更快、更安全以及更个性化！
【软件地址】http://www.onlinedown.net/soft/3636.htm
【破文作者】N-klen[BCG]
【编译语言】.NET
【破解过程】
赶快动手！先别急着载入WinXP总管，因为WinXP总管注册验证是要重启的，也就是启动的时候才比较！
先点输入注册码注册，填入用户名和注册码：01234567890，确定。程序退出
那些信息保存在
[HKEY_CURRENT_USER\Software\Yanicsoft\WinXP Manager]
"Date"="01234567890"
"Name"="N-klen"
"CreateSR"="True"
"CpuName"="Celeron(赛扬) 3"

[HKEY_CURRENT_USER\Software\Yanicsoft\WinXP Manager\Smart Uninstaller]

打开Ollydbg1.10，载入WinXP总管……
下断点：bp ADVAPI32.RegQueryValueExW
因为我的机子是XP，直接按运行就退出，我只有按住shift+F9运行程序！
一直按。。。有好多次哦！
知道看到：
0012F584   0095A4CD  /CALL 到 RegQueryValueExW 来自 0095A4CA
0012F588   0000013C  |hKey = 13C
0012F58C   050C2BE4  |ValueName = "Name"
0012F590   00000000  |Reserved = NULL
0012F594   0012F5FC  |pValueType = 0012F5FC
0012F598   00000000  |Buffer = NULL
0012F59C   0012F5F8  \pBufSize = 0012F5F8

alt+m察看内存映射，[右键]-[搜索]，在UNICODE文本中输入：01234567890（上次输入的注册码）
因为一般情况下注册码比较都是宽字符！搜索UNICODE中填01234567890 选中[0.1.2.3.4.5.6.7.8.9.0.]-[右键]-[内存断点]
按F9运行程序……
中断在：
79269470    8B1C08          mov ebx,dword ptr ds:[eax+ecx]
看到真正的注册码在ECX寄存器
D ECX  OK了！
本想看看算法的，但我没有ILDASM。。。。。。。：（
【注册信息】
[HKEY_CURRENT_USER\Software\Yanicsoft\WinXP Manager]
"Date"="7X9XP8XX3XA"
"Name"="N-klen"
"CreateSR"="True"
"CpuName"="Celeron(赛扬) 3"

yyjpcx

WinXP总管4.9.5
此方法已不行了