IconTOY 3.1新手逆向分析[本坛首发]
【文章标题】:IconTOY3.1新手逆向分析【文章作者】:pj2020【软件名称】:IconTOY3.1【软件大小】:540K【保护方式】:注册码【下载地址】:见附件 【加壳方式】:无壳【编写工具】:BorlandDelphi 4.0 - 5.0【逆向工具】:PEID、OD【操作平台】:WinXP3【作者声明】:新手作品,请勿见笑【软件简介】目前速度最快的图标提取程序之一.它可以从任何包含图标的文件(ICO,ICL,EXE,DLL,SCR,CPL,OCX和BMP)中提取出图标.相比同类工具IconToy的一大优点可以一次扫描整个文件夹甚至整个硬盘来搜索图标.然后您可以将特定图标保存到剪贴板或以16色,256色,高彩色,真彩色或者位图的格式保存图标.此外您可以直接将搜索到的图标或位图设置为壁纸.IconToy界面美观,更支持流行的更换外观功能.一、查壳:无壳
二、先了解一下软件注册情况,有错误提示“registration key error”
三、OD载入程序,查找字符串“registration key error”,发现只有一处,双击字符串这行,向上找到关键跳转,关在上面的关键CALL上下断,F7进入。00485E94.E8 BFFDFFFF call icontoy.00485C58 ;//就在这个关键CALL直接下断,F7进入00485E99.803D 00E94800>cmp byte ptrds:,0x100485EA0 .0F85 C4000000jnz icontoy.00485F6A ;//跳向失败
四、F7来到这里:00485C58/$55 push ebp ;//F7后来到这里
五、从上面可以发现有几十处的地方,都是假码与不同常量之间的比较,只要相等就跳向成功。经验证发现,这些与假码比较的常量都是正确的注册码。如:0x1EBAC7C、0x1C8252、0x197E8C...... 0xABE4BC,把这些16进制的注册码转成10进制,就是真正的注册码了。如把“0x1EBAC7C”转成十进制便是:32222332,验证成功。
六、该软件注册与注册名无关,注册名可以任意输入。 七、注册名和注册码放在注册表里,删除注册码即可变回未注册版本:HKEY_CURRENT_USER\Software\lighttek\icontoy\01放注册名
HKEY_CURRENT_USER\Software\lighttek\icontoy\02放注册码
文章很简单,但是可以帮助很多新手理解逆向的原理。 {:5_116:}谢谢楼主分享 写的挺好,加油 学习了,感谢楼主分享 我觉得你能想到这些16进制数字是密码,就很厉害了。因为我就想不到,怎么会放这么多密码在这里。。。。 谢谢楼主分享教程 感谢分享,,,
[快捷回复]-感谢楼主热心分享!
页:
[1]
2