用自己的名字注册Total Commander8.52a
本帖最后由 totalnothing 于 2016-2-9 06:59 编辑因为刚刚注册了账号,特意将自己以前的一个逆向发上来,适合菜bird,老鸟请绕道。
Total Commander是Windows系统下一个十分优秀的文件管理工具。该工具在文件复制、移动、打包、解包等等诸多方面相当方便,特别是其双窗口界面真正做到了所见即所得,另外还有超多的插件可供使用。本人从4.x版本就开始使用,一直到现在最新的8.52a。
本文调试工具:OD2.01
首先找一个Z.W.T发布的注册机,生成一个自己喜欢的key文件。附件里有一个7.55版本逆向包附带的keygen,供有心者测试用。
**** Hidden Message *****
保存程序,OD中载入修改后的程序,运行一下,报错。
OD中点击暂停按钮,然后点击按钮K查看调用堆栈:
在黄色一行上按下鼠标右键,然后“跟随调用”,来到以下:
只要改掉004F5EBF一行的跳转为jmp就能屏蔽上面的出错对话框。
将7F改为EB,保存文件。
重新载入保存后的文件,运行一下。在帮助菜单中可看到注册信息。
点击上图中的确定按钮,程序退出。这是因为程序被修改,因而触发了CRC校验。OD右下角的堆栈窗口截图如下:
堆栈中选中000AE880一行,按下回车,快速定位到反汇编窗口:
0066855F和00668576两处jz均修改为jmp,保存文件。
重新载入保存后的文件,运行一下。
注:也可设ExitProcess断点,断下后在堆栈中寻找相关信息进行调试
随便点击几下菜单,程序又报错了,看来还有另一处CRC,这时采用了对话框,刚好作为一个好的突破点:
OD中点击暂停按钮,然后点击按钮K查看调用堆栈:
没有有用的信息。
重新载入程序。执行如下操作:
查找名称->MessageBoxA->查找参考->在每个参考上设置断点。
运行后,点击几下菜单,程序报错,暂停在以下位置:
此时应该逐行向上找跳转:鼠标逐行向上点击,当点击到0055FB0C push 541时中间信息窗口显示:
在Jump from 55F902一行按下鼠标右键,快速来到0055F902
0055F902处只要跳转到下行并执行jmp 0056014A即可解除此处CRC验证。修改如下:
保存修改好的程序,正常运行。
沙发{:5_188:} 我试试!!!谢谢楼主 谢谢分享 {:5_121:} 不错哦 不错啊看下 看到🏷标签里的最后一个字我瞎了.......感谢LZ分享! 对楼猪只能说,你太伟大了!!
错过的学习资料,我在恶补 好资料 努力 学习中