x兴照片恢复工具逆向过程
首先用Exeinfo PE查一下壳,如下图很明显,软件使用的是ASprotect的壳,这壳我没找到什么好的方法脱掉,直接带壳逆向
拖入OD后发现是这个样子,跟以前看到的无壳程序不一样,不要慌,先点击左边圆圈里的按钮,再点击蓝色圆圈里的按钮,会进入如下图所示的窗口
这时候再点击箭头指的地方,按下回车键,发现来到了这里
这时候就可以用下断点了,如下图所示
点击"插件-箭头所在的地方”,出现如下窗口
勾选MessageBoxExA,点击确认,回到程序窗口,点击注册,随便输入一个数,点注册后会发现OD已经成功断下(记得要取消对话框MessageBoxExA断点)
来到“堆栈区”(箭头所指的地方),往上翻,你会发现到一个“返回到”,选中它,按下回车键
往上翻,会发现je,但那个并不是我们要找到(你可以下断试试),继续往上翻
来到这里,看见了字符串,但并没有发现跳转,继续往上翻
来到这里,看到了字符串,但只看见一处大跳转,还是往上跳,故这里不是,继续往上翻
来到这里,但这里有很多跳转,所以我们往上翻到子程序开头,下断点
就像这样,点击运行后(先要把调试程序的对话框点掉,然后点击注册)然后F8单步分析
运行到这里,可以看到jnz变红了,按回车键看看下面是什么
直接跳到了注册失败,不行,不能让它这样,把它nop掉
(选择“用nop填充")
我们继续F8,来到这个call,按一下F7进去看看(如果不进去程序跑飞)
可以看到,这里如果就是关键段了,把它改成这样
F9运行后就注册成功了
因为这个程序加了壳,所以我们要用打补丁的方法,就像这样
至此,逆向成功
后续:
再次打开这个软件的时候,会发现这个软件还是显示着已注册,说明它肯定会查找注册文件,我们来试试能不能找到注册文件
打开“火绒剑”,点击“过滤",按照如下图所示进行设置
点击”开启监控”后打开软件,捕捉到这么多动作
搜索"regflag",会找到一个动作,选中它,右键路径,选择“跳转到”
点击这里,定位到注册表
再右键它,选择导出
试试导出注册表文件能不能使其他电脑上的这个软件注册,结果可以,功能能正常使用
完 我觉得楼主这帖很强! 感谢楼主 感谢楼主 感谢楼主 谢谢分享 谢谢分享 如果楼主能每天都分享一些,那就更好了 谢谢分享 谢谢分享