分类分类
关注+2004-10-15作者:蓝点
看一看上一回拦下来的代码:
:0043C340 A31C454500 mov dword ptr [0045451C], eax
:0043C345 8B879C000000 mov eax, dword ptr [edi+0000009C]-------->CODE1
:0043C34B 03C0 add eax, eax
:0043C34D 8D0480 lea eax, dword ptr [eax+4*eax]
:0043C350 058A000000 add eax, 0000008A
:0043C355 3B87A0000000 cmp eax, dword ptr [edi+000000A0]-------->CODE2
:0043C35B 0F940505434500 setz byte ptr [00454305]------>如果相等的话,设为1。
:0043C362 8D8770010000 lea eax, dword ptr [edi+00000170]
:0043C368 50 push eax
:0043C369 E83A86FCFF Call 004049A8
:0043C36E A304454500 mov dword ptr [00454504], eax
:0043C373 803D1343450000 cmp byte ptr [00454313], 00
:0043C37A 740E je 0043C38A
用BPM 454305 整个程序运行都没有用到。一定是作者有意设下的陷阱。
大家一定猜到了是:::有另一处地方还存着CODE1和CODE2。
设断点;bpm 4521A4
bpm 4521A8
拦到了另一处代码:
:00425689 8B45FC mov eax, dword ptr [ebp-04]
:0042568C A3E0214500 mov dword ptr [004521E0], eax
:00425691 8B45F8 mov eax, dword ptr [ebp-08]
:00425694 A3E4214500 mov dword ptr [004521E4], eax
于是退出WINHEX程序
设断点;bpm 4521E0
bpm 4521E4
功夫不费有心人,拦截到如下代码:
:0044CFD7 A1E0214500 mov eax, dword ptr [004521E0]------->取CODE1
:0044CFDC E8FF0FFEFF call 0042DFE0------------------------------->计算出CODE2
:0044CFE1 3B05E4214500 cmp eax, dword ptr [004521E4]-------->与输入的CODE2比较。
:0044CFE7 751E jne 0044D007
CODE1=123456789算出的CODE2=0xFFFFFFFF=4294967295
还是没有注册成功。为什么呢????
继续跟踪发现如下代码:
:0043C7F7 8D87E0000000 lea eax, dword ptr [edi+000000E0]------------->取CODE1
:0043C7FD 2B05BC434500 sub eax, dword ptr [004543BC]
:0043C803 8B00 mov eax, dword ptr [eax]
:0043C805 A3BC434500 mov dword ptr [004543BC], eax
vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv
:0043C80A 813DBC43450038900D00 cmp dword ptr [004543BC], 000D9038 ------>0xD9038=888888
:0043C814 7F21 jg 0043C837
:0043C816 813DBC43450035820000 cmp dword ptr [004543BC], 00008235-------->0x8235=33333
:0043C820 7C15 jl 0043C837
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
以上四句是判断CODE1是否在 888888和33333之中。是对CODE1的限制。
:0043C822 A1BC434500 mov eax, dword ptr [004543BC]
:0043C827 B9E8030000 mov ecx, 000003E8
:0043C82C 99 cdq
:0043C82D F7F9 idiv ecx
:0043C82F 81FA47020000 cmp edx, 00000247
:0043C835 7507 jne 0043C83E
:0043C837 C6052443450000 mov byte ptr [00454324], 00----------->设置标志位
实际上CODE1用888888;844444;800000:755555:653421;500000;还是注册不了!看来还是有其他的判断程序,有兴趣的可以继续跟踪。
于是用了一个CODE1=321321
拦截:0044CFE1 3B05E4214500 cmp eax, dword ptr [004521E4]
得到:CODE2=0x9F2DC=621996
完成时间
2000.4.8 16:52
相关文章
更多+相同厂商
热门推荐
点击查看更多
点击查看更多
点击查看更多
说两句网友评论