- UID
- 8671
注册时间2006-2-27
阅读权限40
最后登录1970-1-1
独步武林
 
TA的每日心情 | 开心
2018-5-6 16:27 |
|---|
签到天数: 7 天 [LV.3]偶尔看看II
|
UltraEdit-32 12.10b 简单暴破过程
软件名称:UltraEdit-32 12.10b
下载地址:http://gz.onlinedown.net/soft/608.htm
软件大小:7829KB
软件语言:英文
软件类别:国外软件/共享版/编辑软件
运行环境:Win9x/Me/NT/2000/XP/2003
加入时间:2006-9-1 15:46:23
下载次数:167210
软件介绍:
一套极棒的文字、Hex、ASCII 码编辑器,可以取代记事本,内建英文单字检查、C++ 及 VB 指令突显, 可同时编辑多个文件,而且即使开启很大的文件速度也不会慢。其并且附有 HTML Tag 颜色显示、搜寻替换以及无限制的还原功能;一般大家常会用其来修改EXE 或 DLL 文件。
破解过程:
一、软件查无壳,是Microsoft Visual C++ 6.0 [Debug]程序。运行程序,提示只可使用45天,经测试,软件除了这个提示之外,功能无限制。
++++++++++++++++++++++++++
★故而暴破的思路就重软件使用期限过期这一点入手。
++++++++++++++++++++++++++
二、把时间往后调过期后运行程序,它马上提示注册框要求注册,在这我们单击取消注册按钮,弹出试用期已经过的提示,未注册用不了。
+++++++++++++++++++++++++++++++++++
45 Day Evaluation time expired!!!!
+++++++++++++++++++++++++++++++++++
三、根据这个思路,我们用OD载入。下API断点:bp MessageBoxA,F9运行程序,单击取消注册按钮后,程序中断在:
77D5050B > 8BFF MOV EDI,EDI ; uedit32.008DD820 、、取消断点,看堆栈提示。
77D5050D 55 PUSH EBP
77D5050E 8BEC MOV EBP,ESP
77D50510 833D 1C04D777 0>CMP DWORD PTR DS:[77D7041C],0
77D50517 74 24 JE SHORT USER32.77D5053D
77D50519 64:A1 18000000 MOV EAX,DWORD PTR FS:[18]
77D5051F 6A 00 PUSH 0
77D50521 FF70 24 PUSH DWORD PTR DS:[EAX+24]
77D50524 68 F40AD777 PUSH USER32.77D70AF4
77D50529 FF15 1812D177 CALL DWORD PTR DS:[<&KERNEL32.Interlocke>; kernel32.InterlockedCompareExchange
堆栈友好提示以下:
0012FC5C 0043FFED /CALL 到 MessageBoxA 来自 uedit32.0043FFE7 //右键反汇编窗口中跟随。
0012FC60 00000000 |hOwner = NULL
0012FC64 01129A90 |Text = "To continue to use this software you must send the registration fee of $39.95 (Ohio residents add Sales Tax) to:
IDM Computer Solutions, Inc.
5559 Eureka Dr., Ste. B
Hamilton, OH 45011
U.S.A.
"
0012FC68 01073BB8 |Title = "45 Day Evaluation time expired!!!!"
0012FC6C 00002030 \Style = MB_OK|MB_ICONEXCLAMATION|MB_TASKMODAL
+++++++++++++++++++返回到以下:
0043FFE5 . 6A 00 PUSH 0 ; |hOwner = NULL
0043FFE7 . FF15 CC187B00 CALL DWORD PTR DS:[<&USER32.MessageBoxA>>; \MessageBoxA
0043FFED . 8B86 F4010000 MOV EAX,DWORD PTR DS:[ESI+1F4] //返回到这,上面就是提示函数。
+++++++++++++++++++++++++++++
向上观察,我们在提示这最开始的代码段下断,然后开始分析:
0043FD20 . 64:A1 0000000>MOV EAX,DWORD PTR FS:[0] //入口,在这下断,重新来进行分析。
0043FD26 6A FF PUSH -1
0043FD28 . 68 B0747800 PUSH uedit32.007874B0
0043FD2D . 50 PUSH EAX
0043FD2E . 8B4424 14 MOV EAX,DWORD PTR SS:[ESP+14]
0043FD32 . 64:8925 00000>MOV DWORD PTR FS:[0],ESP
0043FD39 . 83EC 08 SUB ESP,8
0043FD3C . 83F8 08 CMP EAX,8
0043FD3F . 53 PUSH EBX
0043FD40 . 8B5C24 28 MOV EBX,DWORD PTR SS:[ESP+28]
0043FD44 . 56 PUSH ESI
0043FD45 . 57 PUSH EDI
0043FD46 . 0F85 C3010000 JNZ uedit32.0043FF0F
++++++++++++++++++++++++
根据跑F8跑的累了几次之后,咱认为这些代码就是检测注册及提示的。
最后试着把:
0043FD20 . 64:A1 0000000>MOV EAX,DWORD PTR FS:[0]
改成:
0043FD20 C3 RETN //更改之后取消断点,程序方可正常运行。
0043FD21 90 NOP
0043FD22 90 NOP
0043FD23 90 NOP
0043FD24 90 NOP
0043FD25 90 NOP
运行程序,哈哈~不再提示注册或过期啥的。至此,暴破成功!
版权声明:本篇原创乃纯技术交流破文,作者野猫III[D.4s][PYG],转载请标明出处,谢谢!
[ 本帖最后由 野猫III 于 2006-9-4 00:55 编辑 ]
图片附件: 3.GIF (2006-9-4 00:53, 13.36 K)
★怎个大鸟们都躲起来,咱们菜鸟们无助的走~
[ 本帖最后由 野猫III 于 2006-9-4 01:19 编辑 ] |
评分
-
查看全部评分
|
IP卡
发表于 2006-9-4 00:57:45
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2006-9-4 17:25:02
楼主
发表于 2006-9-5 07:26:18
发表于 2006-9-6 11:24:36
发表于 2006-9-8 01:49:27