现学现卖 暂停大法
今天看了haier8917大神的暂停大法视频教程。受益非浅。这里感谢一下大神的无私奉献。大神的贴子URL:https://www.52hb.com/thread-32230-1-1.html
正所谓临阵磨枪不快也光,找个软件试试大法。软件是Restorator 2007版。
软件打开会直接跳出注册窗口。直接点击确定 提示“你的授权信息不正确!”
首先惯例查壳,delphi写的。没加壳。
既然没加壳那我们直接OD吧。加载完成后,直接F9运行,注册窗口直接确认弹出错误信息后,不要点确定。
F12暂停一下,然后点点击菜单栏 查看 -->调用堆栈,在调用堆栈窗口我们选择WaitMessage这条,
右击这条记录 在弹出的菜单选中显示调用我们按F4 再按F8单步
F8单步执行到这后,就一直循环执行 00477572 - 004775B8 之间的指令。
我们在004775BA处下断点 F9,这时点击提示“你的授权信息不正确”提示框,这时会中断在断点处,
我们继续F9,然后点击 授权窗口的 取消 按钮这时还是会中断在断点处,继续F8单步执行。
到达里后发现注册窗口是从这里进入的,我们试着把这行代码改动下,
0056C7EB . /75 46 jnz short Restorat.0056C833
我们重新加载后 把jnz 改成je后再次运行,发现是可行的。但是注册窗口在主窗口show完后还是会弹出
看样子还是有地方没处理干净,这时直接点击注册窗口取消按钮,会中断在之前的断点处,继续F8。
我们又找到新的一处。同样把jnz 改成je 。重新加载后修改这两处,再F9运行,现在可以完美运行了。
0056D61D . /75 53 jnz short Restorat.0056D672
PS : 单步的时候很痛苦,没什么经验只能耐着性子慢慢一步一步的跟踪。不过节果还是挺满意的。
另外再提供一方法,我使过可行的。前面我们查壳的时候 发现其是delphi写的,我们可以使用DEDE神器
来分析程序。可以很容易找到突破点,有兴趣的朋友可以试试。分析的对象可在附件中下载。
呵呵,刚开始的时候是很痛苦的,但是,随着技术的不断地提高,其实暂停法挺方便的 haier8917 发表于 2017-4-7 15:49
呵呵,刚开始的时候是很痛苦的,但是,随着技术的不断地提高,其实暂停法挺方便的
痛苦是因为技术还不够 经验不足,暂停法对于大牛们来说确实方便! 这个还可以试一下那个提示注册的窗口, byh3025 发表于 2017-4-7 16:41
这个还可以试一下那个提示注册的窗口,
这个还真没试过。有时间试试! harlanchou 发表于 2017-4-7 16:53
这个还真没试过。有时间试试!
以后习惯暂停法后,就要在前面那个跳过调用CALL处下断,因为有很多的程序有优先跳过的原则的原则,也就是说,到了某处后,程序会首先进行注册信息的判断与否,如果注册则直接跳过,否则才进行后面的判断(比如使用次数或者试用时间的判断),如果次数达到了使用的最大次数或者试用时间到期,则程序不跳,反之程序继续判断其他的信息,另外,你要慢慢学会利用赋值法进行程序的爆破,因为有些程序他的功能调用很多的,在每个调用功能前都会进行一次判断,如果碰到这样的程序那改天转的话,就比较累了 haier8917 发表于 2017-4-7 17:13
以后习惯暂停法后,就要在前面那个跳过调用CALL处下断,因为有很多的程序有优先跳过的原则的原则,也就是 ...
有您这样的大神在,是我们的福气 byh3025 发表于 2017-4-7 17:21
有您这样的大神在,是我们的福气
呵呵,过奖了,我可不是大神 haier8917 发表于 2017-4-7 17:23
呵呵,过奖了,我可不是大神
经常解答我们小白的问题,出教程及时,分析的也透彻,您不是大神还有谁能称得上是大神呢?不像有些人走向大牛之路后,就不屑于我们这样的小白的问题了 嗯,很多时候确实也这样,毕竟也是小白。。。