暂停法逆向里诺仓库管理软件(单机版)

本人看了下shark恒老师的地三期11课，过后我也试验了那个软件，除了shark恒老师所说的方法，还有N个方法，现提供如下几种思路：
1：字符串，可以字符注册或试用查找
2：F12暂停法，
废话不多说，进入正题，先用F12暂停法
先查壳，发现无壳，是delphi的程序，此处图省略
然后OD加载程序，停在下图处

1

F9运行，=程序加载完，如下图

2

然后依次点击暂停，和K（暂停是使程序暂停下来，K是调用堆栈），见下图（为了我的文字显得更清楚，我把文字说明处的图片背景删了）

3

就到了堆栈窗口，见下图

4

右键点最下那个，选择显示调用，

5

到下图你可以在光标那行鼠标左键单击后按F4键，然后进行单步，可以看到在4ABC3A的地方有个向上的跳转，见下图

6

你就在4ABC3C这行，鼠标左键点击，F4，OD窗口显示运行

7

此时你的目标就是在程序上操作了，见下两幅图

8

9

通过上面对主程序操作后，程序又被断了下来，此时可能大家就继续单步跟踪了吧，但我可以告诉你，这样可能跟踪不到，为什么呢？？？大家想想，上面那个需要注册提示框点了后消失了，然后我们点那个登陆，程序下一步该做什么呢？？？此时程序应该加载主界面了吧，所以你跟踪的话，其实就只有跟踪到程序加载主界面的过程，那怎么办呢，很简单，F9让程序运行起来，再来一次暂停法，操作我就不演示了，大家自己试，我只给大家一张这时的堆栈窗口图，仍然是最后一个右键，显示调用

10

到下图后向上翻，可以看到3个跳转可以跳过他，我们要找的是它么，大家可以试试，我图中已经说了，注意，可以跳过指的是可以跳过下面那个显示调用OD到这的CALL，

11

设好断后重新运行，看看，程序被断下来了吧，F8单步跟一下，果然没跳

12

下面，我们需要重新载入程序（因为刚刚已经比较了，所以不重载入程序的话赋值无效），把他需要和0比较的地方赋值为0，这里有的人很可能会问，为什么会赋值为0呢，大家看消息框，就知道那里现在是1,把1和0比较，肯定不想等，所以跳转不跳，那里改为0就相等，跳转就跳，这样程序就没未注册的框框了，而且程序也会变成注册的了，来试试，赋值的方法我在图中注明

13

正如我们所料吧，下面来两张关于的对比图，呵呵

14破解前

14破解后

找到了与0做比较的地方，但这个值是怎么得来的呢，也就是说，是哪里往这写进了数据，大家接着往下看，哎，我尽量在图上说明吧，边在这里说边截图很累，我下面全上图，要说的话在图上说了

15

16

17

18

19

20

21

向楼主学习了

没错，每个软件都有多种思路逆向，这说明你确实学明白了。懂得变通，举一反三了。

辛苦分享辛苦

厉害

呵呵，大家好，本人觉得函数方面自古以来就是新手的难题，而且字符串比较简单，所以我以后讲解分析方法一般以暂停发为主，另外，大家在逆向的时候可以以字符串为主，找不到的话可以试试暂停法和按钮事件（但我觉得按钮事件大家尽量少用，毕竟大家都是来学习逆向的，懂得逆向才知道各种软件的漏洞，如果以后自己编程的话就要尽可能避开这方面的漏洞），呵呵，另外，看上面的堆栈窗口那里，有兴趣的人也可以从最顶上面的那个函数开始慢慢F8跟踪出来，也挺有意思的，呵呵，下面，我把这个软件的两处暗桩的图和完美逆向的图贴出来，另外，打字真的好累，我的语言不是很好，以后如果录制视频的话可能结巴，希望大家不要笑话，

1

Shark恒 发表于 2016-10-31 21:43
没错，每个软件都有多种思路逆向，这说明你确实学明白了。懂得变通，举一反三了。

鲨鱼哥，现在有那些流行的软件啊，介绍几款我来试试逆向着玩啊，查找字符串加暂停法可以逆向软件的成功率居然高达80%，另外那个雨花石的软件逆向并没有达到完美逆向的效果，可以设置，但周二和周四仍然自动屏蔽，我现在在实验用获取系统时间函数断点去搞

学习了，谢谢！！！

楼主进步好快，羡慕，向你学习

谢谢楼主分享学习学习