暂停法分析PDF转换器V9简单爆破及原理
本帖最后由 刀口以后 于 2016-4-16 23:38 编辑最近一段时间学习恒大师父的教程,现在看第二遍,比以前理解的更加深刻。再次感谢师父。{:5_116:}再逛某爱论坛的时候,看到这个软件的逆向教程,利用的是赋值法爆破。说实话我还没仔细看完,软件下载后先自己试着逆向,发现利用f12暂定法可以不用做任何修改达到注册,比那个简单多了。说明:此教程只适用于学习研究,不得用于商业用途,产生的后果于本人无关。
先看软件运行流程。打开软件后上边显示未注册,下面显示5次文件转换使用剩余(实际你打开五次关闭五次后就不会弹出主界面,直接提示注册),点击购买,输入假码后提示注册码错误。说到这里大家可能觉得要不搜索字符串?爆破注册项下messagebox断点?爆破文件转换使用次数?好了继续向下看。
使用peid查壳,无壳,vb程序,如图:
**** Hidden Message *****
上传文件不够用了我就发个逆向版,原文件在官网下载pdf转换器http://www.1xg.com.cn/。
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
我是 华丽的分割线
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
上面分析过的就不说了,为什么能不保存也成功了,这里有一个函数调用的问题。同样的方法找到那四个jnz跳转利用z标志位修改跳转单步f8这次我们慢慢看。单步f8在这里我们发现APPDATA,sound.dll先不管是什么先记下来。继续单步f8后发现寄存器窗口出现C:\Documents and Settings\Administrator\Applicatio这个目录?我们去看看有什么东西,发现三个可疑文件难道刚才那个appdata是这个文件夹的缩写?sound难道是注册验证?因为软件输入假码的时候是跳过这些东西的,所为我们大胆的假设。
**** Hidden Message *****
这里要说的是如果之前已经爆破成功,如果想要再次分析这里要删除掉C:\Documents and Settings\Administrator\Applicatiosound文件夹的sound.dll文件,这时候软件就又变回未注册版了,打开文件后软件会自动生成这个文件。好了教程到此结束。图文真的很累,评分就不要吝啬了。{:5_188:}
前排占坐,学习了。 这是高清无码啊,刀口加油! Shark恒 发表于 2016-4-16 00:18
这是高清无码啊,刀口加油!
哈哈,谢谢师父,图片高清无码太累,下次弄视频吧。 来看看啦谢谢分享 顶一下 多谢楼主分享 小白刚上路学习下思路 学习 谢谢你
回复看看谢谢 图文教程?? ll988600 发表于 2016-4-16 09:43
图文教程??
是的,图文的