两种方法爆破Any To Icon软件

首先声明，我也是一个菜鸟，在论坛潜水了这么长时间。有很大的收获。发这个帖子是想给新手一个思路。大神就不用看了。

Any To Icon这个软件是个图片转换图标软件。在网上找到的都是需要导入注册表的。嫌麻烦，就像着自己爆破一下。在分析过程中也走了很多弯路，甚至差点都想放弃了，不过最终还是成功了。希望能有让大家借鉴的地方。现在开始分析软件：

                               
登录/注册后可看大图

首先打开软件看一下,软件大概流程：

可以看到未注册的广告窗口和关于窗口。

首先想到的肯定是搜索字符串，发现什么也搜索不到.我们尝试其他办法。我们就试试用DEDE来找到关键处。

很明显,这里有一个about 应该就是关于窗口了.我们右键FormCreat  复制当前RVA 然后载入OD.转到该地址,下断.然后运行

发现此时,断下来了,单步F8跟踪,注意下面的每一个跳转.我们发现了这样一串代码:

将一个堆栈的地址给了eax，然后调用call以后，又将其与0对比，比较可疑。会不会就是关键处呢？我们先留着疑问继续往下跟。下面的跳转不用理他，我们一直向下走，直到这一句

是不是比较相似呢？我们可以看出，这两个跳转处，除了地址不一样，其他一模一样，连调用call 的地址都一样。那这个应该就是关键处了吧。为了验证我们的想法。我们可以把这一句的jnz通过改变标志位的方法，让它跳转。

发现了什么，下面的未注册信息消失了，那这个肯定就是关键处了。

我们可以将两个跳转的都改成JMP。

这就变成注册的了。证明call 00662ef8 就是关键call了。

我们点OK，发现还是未注册的，

此时，我们是进去call跟踪一下看看。

我们可以发现调用call 的时候，eax的值为0012f4dc  我们数据窗口跟随查看下，发现为0。

后面将这个值与0比较，如果验证成功，那这个值肯定不为0。

单步跟踪，我们发现又有几句跟上面的一样。

我们看下面的跳转，发现跳了，

跳过了很多call和user字符串。比较可疑，我们NOP掉试试。运行一下，发现已经注册了。

我们保存一下，在运行，发现已经注册了，这时我们已经爆破成功了。

                               
登录/注册后可看大图

另外我们还可以通过注册表函数定位关键位置：我们查找字符串发现，有疑似注册表注册项。我们记录下来

或者也可以使用注册表监听工具找到读取注册表的位置。

重载程序，右键查找->所有模块间调用。

直接输入reg  就显示出来了。我们在RegOpenKeyExA下断点。右键，在每个调用下断点。

此时，我们已经下好断点了，

F9运行，直到出现以下信息（注意看堆栈窗口）

这就是它在读取注册表项了。

我们单步往下跟踪。Retn出call不要管他，继续跟踪。

几次retn以后看见以下代码：

是不是有点眼熟？我们又到关键处了。把je  nop掉。就成功爆破了。

                               
登录/注册后可看大图

                               
登录/注册后可看大图

总结：这个软件关键call与其他的不同，其他的主要针对eax的值进行比较。这个软件则将堆栈中的值进行比较。另外你继续跟的话会发现，

如果注册成功，它会将Sky123.Org赋值给那个堆栈地址。

新手发帖，有什么错误的地方大家尽情批评指正。讲的可能不够详细，语言组织能力也不咋地。大家有什么问题可以回帖问我。另外第一次发帖，不会排版，大家多多包涵。

                               
登录/注册后可看大图

                               
登录/注册后可看大图

不懂这个              

大神碉堡了

感谢楼主分享经验，大神碉堡了

正在学习了。。。。。!

感谢分享宝贵经验

感谢分享，正好需要,,,,

爱论坛，爱网友！