- UID
- 56683
注册时间2008-10-1
阅读权限8
最后登录1970-1-1
初入江湖
该用户从未签到
|
【文章标题】: 奇怪的E语言程序,已进入程序领空查到了关键字符串,却找不到关键跳,求大侠帮忙分析
【文章作者】: 颜峰
【作者邮箱】: 8962919@qq.com
【作者QQ号】: 8962919
【软件名称】: 淘宝信使V7.9
【软件大小】: 552K
【下载地址】: http://www.qfsoft.net/xzq/taobaosetup.exe
【加壳方式】: 未加壳
【保护方式】: 无保护
【使用工具】: OD
【作者声明】: 只是对易语言的程序感兴趣,学习,交流
--------------------------------------------------------------------------------
【详细过程】
OD载入后,在ECODE上下断点,断下后F8进入了程序领空,查找ASCII码
0044556B push dump_.0040439E 用户:
004455F9 push dump_.004043A4 10
0044562B push dump_.004043A7 taobao\dl\
00445651 push dump_.004043B2 真
004456A0 push dump_.004043B5 taobao\dl\1
004456F0 push dump_.004043C1 taobao\dl\2
00445778 push dump_.004043CD 注意:你上次使用了代理设置,要改变请点菜单里的代理设置。
00445799 mov eax,dump_.00404406 tb.edb
00445930 push dump_.00404415 数据库损坏。
00445981 push dump_.00404422 淘宝网.edb
004459CE push dump_.0040442D 12345
004459DA push dump_.00404433 lovecagsitn\taobao\fvbhryh-wstqyb
00445A1D push dump_.00404455 *未注册版
00445A6F push dump_.004034BF \n\n
00445A7A push dump_.0040445F 你使用的是未注册版。 未注册版将全部发送给自己登录发送的那个id。请另去网页查看。\n\n注意:由于未注册版,因此最好使用注册版进行大面积发送。不管是否注册.本作者都在qq给于指导 :
00445B15 add esp,28 (初始 cpu 选择)
00445E1C push dump_.004034BF \n\n
00445E6F push dump_.004034BF \n\n
00445F22 push dump_.004036FC /
00446000 push dump_.004036FC /
0044620C push dump_.004034BF \n\n
00446590 push dump_.0040450B 存
004466A3 push dump_.004034BF \n\n
004466F6 push dump_.004034BF \n\n
004467A9 push dump_.004036FC /
00446887 push dump_.004036FC /
00446A4F push dump_.004034BF \n\n
00446C1D push dump_.0040450E 如果你在搜索或发送中请不要操作本项。是否继续,按是继
双击 “*未注册版”这一行来到下面:
这行上面不远处虽然有个JE跳转,可是并没有跳过“*未注册版”这一行的代码,改标志试过也没有用
再双击字符串查找中的“你使用的是未注册版。未注册版将全部发送给自已登录发送的那个ID”这一下,来到下面:
这里跟上面的也是一样,虽然上面不远有个JE跳转,可也没有跳过未注测的提示。
非常郁闷了,试着跟进附近的几个CALL也找不到结果,求助诸位大侠帮助一下新手,分析一下问题出在哪里。。。谢谢了。。。
--------------------------------------------------------------------------------
【版权声明】: 本文原创
2009年04月04日 12:20:04 |
|
IP卡
发表于 2009-4-4 12:22:18
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2009-4-4 13:47:16
发表于 2009-4-4 13:47:49
楼主
发表于 2009-4-4 16:04:45
发表于 2009-4-4 16:36:13
发表于 2009-4-4 17:28:33