现学现卖 暂停大法

今天看了haier8917大神的暂停大法视频教程。受益非浅。这里感谢一下大神的无私奉献。
大神的贴子URL：https://www.52hb.com/thread-32230-1-1.html


正所谓临阵磨枪不快也光，找个软件试试大法。软件是Restorator 2007版。


软件打开会直接跳出注册窗口。直接点击确定 提示“你的授权信息不正确！”




首先惯例查壳，delphi写的。没加壳。



既然没加壳那我们直接OD吧。加载完成后，直接F9运行，注册窗口直接确认弹出错误信息后，不要点确定。




F12暂停一下，然后点点击菜单栏   查看 -->调用堆栈，在调用堆栈窗口我们选择WaitMessage这条，
右击这条记录 在弹出的菜单选中  显示调用  我们按F4 再按F8单步



F8单步执行到这后，就一直循环执行 00477572 - 004775B8 之间的指令。


我们在004775BA处下断点 F9，这时点击提示“你的授权信息不正确”提示框，这时会中断在断点处，
我们继续F9，然后点击 授权窗口的 取消 按钮  这时还是会中断在断点处，继续F8单步执行。
到达里后发现注册窗口是从这里进入的，我们试着把这行代码改动下，
0056C7EB   . /75 46         jnz short Restorat.0056C833  


我们重新加载后 把jnz 改成je后再次运行，发现是可行的。但是注册窗口在主窗口show完后还是会弹出



看样子还是有地方没处理干净，这时直接点击注册窗口取消按钮，会中断在之前的断点处，继续F8。
我们又找到新的一处。同样把jnz 改成je 。重新加载后修改这两处，再F9运行，现在可以完美运行了。
0056D61D   . /75 53         jnz short Restorat.0056D672


PS ： 单步的时候很痛苦，没什么经验只能耐着性子慢慢一步一步的跟踪。不过节果还是挺满意的。
另外再提供一方法，我使过可行的。前面我们查壳的时候 发现其是delphi写的，我们可以使用DEDE神器
来分析程序。可以很容易找到突破点，有兴趣的朋友可以试试。分析的对象可在附件中下载。

Restorator.rar (1.02 MB, 下载次数: 43)

2017-4-7 15:29 上传

点击文件名下载附件

呵呵，刚开始的时候是很痛苦的，但是，随着技术的不断地提高，其实暂停法挺方便的

haier8917 发表于 2017-4-7 15:49
呵呵，刚开始的时候是很痛苦的，但是，随着技术的不断地提高，其实暂停法挺方便的

痛苦是因为技术还不够 经验不足，暂停法对于大牛们来说确实方便！

这个还可以试一下那个提示注册的窗口，

byh3025 发表于 2017-4-7 16:41
这个还可以试一下那个提示注册的窗口，

这个还真没试过。有时间试试！

harlanchou 发表于 2017-4-7 16:53
这个还真没试过。有时间试试！

以后习惯暂停法后，就要在前面那个跳过调用CALL处下断，因为有很多的程序有优先跳过的原则的原则，也就是说，到了某处后，程序会首先进行注册信息的判断与否，如果注册则直接跳过，否则才进行后面的判断（比如使用次数或者试用时间的判断），如果次数达到了使用的最大次数或者试用时间到期，则程序不跳，反之程序继续判断其他的信息，另外，你要慢慢学会利用赋值法进行程序的爆破，因为有些程序他的功能调用很多的，在每个调用功能前都会进行一次判断，如果碰到这样的程序那改天转的话，就比较累了

haier8917 发表于 2017-4-7 17:13
以后习惯暂停法后，就要在前面那个跳过调用CALL处下断，因为有很多的程序有优先跳过的原则的原则，也就是 ...

有您这样的大神在，是我们的福气

byh3025 发表于 2017-4-7 17:21
有您这样的大神在，是我们的福气

呵呵，过奖了，我可不是大神

haier8917 发表于 2017-4-7 17:23
呵呵，过奖了，我可不是大神

经常解答我们小白的问题，出教程及时，分析的也透彻，您不是大神还有谁能称得上是大神呢？不像有些人走向大牛之路后，就不屑于我们这样的小白的问题了

嗯，很多时候确实也这样，毕竟也是小白。。。