GoOdLeiSuRe 的博客网

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://zhmwf.yourblog.org/logs/605783.html

【软件名称】某麻将 3.4 【软件大小】4.43MB 【软件限制】这是一个共享软件（有30次使用及每次7局限制），注册费：30元，注册后将无任何使用限制。 【注册类型】机器码 + 用户名 -> 注册码，网络验证 【破解过程】 主程序：Mj.exe PEiD检查：ASPack 2.12 -> Alexey Solodovnikov 脱壳：用AspackDie直接脱 PEiD再检查：Microsoft Visual Basic 5.0 / 6.0 编译方式：用OllyDBG加载，感觉是P-CODE，用WKTVBDebugger加载，果然是P-CODE //加载后停于此 0049A850: 00 LargeBos //一路F8瞧瞧 0049A852: 00 LargeBos 0049A854: 4B OnErrorGoto Next 0049A857: 00 LargeBos 0049A859: 04 FLdRfVar 0070FB56h 0049A85C: 04 FLdRfVar 0070FB58h 0049A85F: 05 ImpAdLdRf 0049A862: 24 NewIfNullPr 0041CEA8 0049A865: 0D VCallHresult CVBApp::get_App 0049A86A: 08 FLdPr 0049A86D: 0D VCallHresult get__ipropPrevInstanceAPP 0049A872: 6B FLdI2 0049A875: 1A FFree1Ad 0049A878: 1C BranchF 0049A87F (Jump ) 0049A87B: 00 LargeBos 0049A87D: FC Lead1/End 0049A87F: 00 LargeBos //读取安装目录吧？ 0049A881: 1B LitStr: ’SetupDir’ 0049A884: 43 FStStrCopy 0049A87B: 00 LargeBos 0049A87D: FC Lead1/End 0049A87F: 00 LargeBos 0049A881: 1B LitStr: ’SetupDir’ 0049A884: 43 FStStrCopy 0049A887: 04 FLdRfVar 0070FB48h //注册表字符串，说不定用户名与注册码也会储存在这儿 0049A88A: 1B LitStr: ’SoftWare\NetMJ\Infomation’ 0049A88D: 43 FStStrCopy 0049A890: 04 FLdRfVar 0070FB4Ch 0049A893: F5 LitI4: -> 80000002h -2147483646 0049A898: 59 PopTmpLdAdStr //读取注册表“SoftWare\NetMJ\Infomation”，获取“SetupDir”值 0049A89B: 0B ImpAdCallI2 modPubTools!0044C5C4h 0049A8A0: 31 FStStr …… //F5运行 点击：Form Manager 在窗口下拉列表中看到了重要窗口：frmUserReg 点击：Command 在弹出窗口选择：cmdOK 点击：BPX，进行中断 接着返回主程序，输入一些注册信息，一但“确定”就会中断： 0044485C: 04 FLdRfVar 0070F378h 0044485F: 21 FLdPrThis 004FC52Ch 00444860: 0F VCallAd frmUserReg.txtUserName 00444863: 19 FStAdFunc 0070F37C 00444866: 08 FLdPr 00444869: 0D VCallHresult get__ipropTEXTEDIT 0044486E: 6C ILdRf 00000000h 00444871: 0B ImpAdCallI2 rtcTrimBstr on address 660E6AC5h //用户名 00444876: FD Lead2/PopTmpLdAdStr 0044487A: 1B LitStr: ’RegName’ 0044487D: 43 FStStrCopy 00444880: 04 FLdRfVar 0070F36Ch 00444883: 1B LitStr: ’SoftWare\NetMJ\Infomation’ 00444886: 43 FStStrCopy 00444889: 04 FLdRfVar 0070F370h 0044488C: F5 LitI4: -> 80000002h -2147483646 00444891: 59 PopTmpLdAdStr 00444894: 0A ImpAdCallFPR4 modPubTools!0044507Ch 00444899: 32 FFreeStr 004448A4: 1A FFree1Ad 004448A7: 04 FLdRfVar 0070F378h 004448AA: 21 FLdPrThis 004FC52Ch 004448AB: 0F VCallAd frmUserReg.txtPassword 004448AE: 19 FStAdFunc 004448B1: 08 FLdPr 004448B4: 0D VCallHresult get__ipropTEXTEDIT 004448B9: 6C ILdRf 00000000h 004448BC: 0B ImpAdCallI2 rtcTrimBstr on address 660E6AC5h //注册码 004448C1: FD Lead2/PopTmpLdAdStr 004448C5: 1B LitStr: ’RegCode’ 004448C8: 43 FStStrCopy 004448CB: 04 FLdRfVar 0070F36Ch 004448CE: 1B LitStr: ’SoftWare\NetMJ\Infomation’ 004448D1: 43 FStStrCopy 004448D4: 04 FLdRfVar 0070F370h 004448D7: F5 LitI4: -> 80000002h -2147483646 004448DC: 59 PopTmpLdAdStr 004448DF: 0A ImpAdCallFPR4 modPubTools!0044507Ch 004448E4: 32 FFreeStr //很明显，注册信息存储于注册表项：SoftWare\NetMJ\Infomation //RegName 用户名 //RegCode 注册码 F5，主程序要求退出 重新加载，并由以上信息“ImpAdCallI2 modPubTools!0044C5C4h”找出调用注册信息的位置 //用户名 在此使用：GoOdLeiSuRe 00449928: 23 FStStrNoPop -> ’GoOdLeiSuRe’ 0044992B: 0B ImpAdCallI2 rtcLowerCaseBstr on address 660E6A2Dh 00449930: 31 FStStr -> ’goodleisure’ 00449933: 32 FFreeStr 0044993C: 1B LitStr: ’regcode’ 0044993F: 43 FStStrCopy 00449942: 04 FLdRfVar 0070F690h 00449945: 1B LitStr: ’SoftWare\NetMJ\Infomation’ 00449948: 43 FStStrCopy 0044994B: 04 FLdRfVar 0070F694h 0044994E: F5 LitI4: -> 80000002h -2147483646 00449953: 59 PopTmpLdAdStr 00449956: 0B ImpAdCallI2 modPubTools!0044C5C4h //注册码 在此使用：7878787878 0044995B: 31 FStStr -> ’7878787878’ 0044995E: 32 FFreeStr 00449965: 05 ImpAdLdRf 00449968: F4 LitI2_Byte: -> 1h 1 0044996A: FC Lead1/FnUBound 0044996C: F5 LitI4: -> 1h 1 0044