|
考无忧2017年专业技术人员资格考试《初级会计师》辅导题库软件逆向教程
软件下载地址:
http://www.k51.com.cn/download/3
逆向分析思路:
暂停法找到关键跳转和关键CALL
进入关键CALL(也是算法CALL)跟踪,发现注册码和关键跳和赋值处,进行修改保存即可
过程:重点看演示
00568938 |. 8945 F8 mov [local.2],eax\\运行暂停法,程序断在此处,一路F8
最后来到这里:00B35060 |. 48 dec eax
分析代码:没有注册,只显示10个题目。
00B3503A |. E8 6DF9FFFF call easykao.00B349AC\\关键CALL(算法CALL)
00B3503F |. 84C0 test al,al
00B35041 |. 75 24 jnz short easykao.00B35067\\(关键跳,如果不跳会出现注册提醒框,如果跳转就不会出现)
00B35043 |. A1 DC88D900 mov eax,dword ptr ds:[0xD988DC]
00B35048 |. 8B00 mov eax,dword ptr ds:[eax] ; easykao.00B3396C
00B3504A |. 8BD7 mov edx,edi
00B3504C |. E8 8F26FEFF call easykao.00B176E0
00B35051 |. A1 DC88D900 mov eax,dword ptr ds:[0xD988DC]
00B35056 |. 8B00 mov eax,dword ptr ds:[eax] ; easykao.00B3396C
00B35058 |. 8B10 mov edx,dword ptr ds:[eax] ; easykao.00B3396C
00B3505A |. FF92 20010000 call dword ptr ds:[edx+0x120]
00B35060 |. 48 dec eax
00B35061 |. 75 06 jnz short easykao.00B35069
00B35063 |. B3 01 mov bl,0x1
00B35065 |. EB 02 jmp short easykao.00B35069
00B35067 |> B3 01 mov bl,0x1
00B35069 |> 8BC3 mov eax,ebx
00B3506B |. 5F pop edi
00B3506C |. 5E pop esi
00B3506D |. 5B pop ebx
00B3506E |. 5D pop ebp
00B3506F \. C3 retn
在关键CALL00B3503A处F7进入,来到00B349AC,发现ebp=0013FB38
本地调用来自 00B1A44E, 00B1A496, 00B3503A, 00B35141, 00B35585, 00B35E79, 00B364D9, 00B36F66, 00D158F8, 00D40D0C
多处调用该CALL
00B349AC $ 55 push ebp\\段首F2下断
功能测试,程序被断下,一路F8,出现向上的跳转,可以在下一行F4,注意寄存器相关数据变化
运行到此
00B34AA6 . 68 9C4EB300 push easykao.00B34E9C ; UNICODE "&"
堆栈窗口出现:
0013FA5C 00B34E9C UNICODE "&"
0013FA60 0282873C UNICODE "40A77-569D1-3DC1C-AA936"
其中40A77-569D1-3DC1C-AA936为机器码
继续F8向下
00B34BA9 . 8B55 F8 mov edx,dword ptr ss:[ebp-0x8]
EAX 0282937C UNICODE "64079-AA837-A420C-33143" \\这是上次调试的数据
EAX 0284977C UNICODE "78B64-80F6E-F4995-26B99"\\这是刚才调试的数据
估计是注册码吧,重点是下面
00B34BB1 /75 09 jnz short easykao.00B34BBC
00B34BB3 . |C645 E3 01 mov byte ptr ss:[ebp-0x1D],0x1
00B34BB7 . |E9 C8010000 jmp easykao.00B34D84
00B34BBC > \E8 B394FBFF call <jmp.&ease.GetDriveCount>
所有的题目都出现了,如果跳转实现,就会出现注册提醒,同时功能上受限,只有部分题目出现。
原二进制代码:75 09 C6 45 E3 01 E9 C8 01 00 00 E8 B3 94 FB FF
改二进制代码:90 90 C6 45 E3 01 E9 C8 01 00 00 E8 B3 94 FB FF
75 09 C6 45 E3 01 E9 C8 01 00 00 E8
90 90 C6 45 E3 01 E9 C8 01 00 00 E8
由于程序没有加壳可以直接保存,但防止程序有校验暗桩,直接用大白打补丁
打补丁过程直接看演示,补丁制作后,运行补丁,成功后再次运行原程序,测试功能一切正常
教程到此结束,谢谢大家观看。
教程及相关资料下载:链接: http://pan.baidu.com/s/1dFvG06X 密码:
|
评分
-
参与人数 20 | 威望 +1 |
HB +24 |
THX +11 |
收起
理由
|
虚心学习
| |
|
+ 1 |
[吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少! |
lies
| |
|
+ 1 |
|
zxjzzh
| |
|
+ 1 |
[吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守! |
别管我了行
| |
|
+ 1 |
|
消逝的过去
| |
|
+ 1 |
|
飞刀梦想
| |
+ 1 |
|
|
temp
| |
+ 1 |
|
|
agan8888
| |
+ 1 |
|
|
xujinwen
| |
+ 1 |
|
|
逗苍天
| |
+ 1 |
+ 1 |
[快捷评语] - 吃水不忘打井人,给个评分懂感恩! |
468561670
| |
+ 1 |
|
[快捷评语] - 吃水不忘打井人,给个评分懂感恩! |
zqdl
| |
+ 1 |
+ 1 |
[快捷评语] - 分享精神,是最值得尊敬的! |
kulouyayi
| |
+ 1 |
|
[快捷评语] - 分享精神,是最值得尊敬的! |
baoxia
| |
+ 1 |
|
[快捷评语] - 2017,让我们17学破解! |
zlyqwe456
| |
+ 1 |
+ 1 |
[快捷评语] - 分享精神,是最值得尊敬的! |
ajun1974
| |
+ 1 |
|
[快捷评语] - 分享精神,是最值得尊敬的! |
DDK4282
| |
+ 1 |
|
[快捷评语] - 分享精神,是最值得尊敬的! |
雪夜无痕
| |
+ 1 |
+ 1 |
能否做出一个注册机呢? |
ok8953
| |
+ 1 |
+ 1 |
[快捷评语] - 分享精神,是最值得尊敬的! |
Shark恒
| + 1 |
+ 10 |
+ 1 |
[快捷评语] - 2017,让我们17学破解! |
查看全部评分
|