Fast Browser是用Delphi編的,先用DeDe看看,點DCUTRegisterForm後雙擊_BtnRegisterClick後可看到以下程式碼,在4DB4AC下斷點,用ICE跟一下,執行程式,點選幫助輸入註冊碼,添好你的東西,我的是:(Tennight.C,13131313),點註冊,停在斷點。
004DB4AC 55
push ebp
004DB4AD 8BEC
mov ebp, esp
004DB4AF
B905000000 mov ecx, $00000005
004DB4B4 6A00
push $00
004DB4B6 6A00
push $00
004DB4B8 49
dec
ecx
004DB4B9 75F9
jnz 004DB4B4
004DB4BB 51
push ecx
004DB4BC
53 push
ebx
004DB4BD 8BD8
mov ebx, eax
004DB4BF 33C0
xor eax, eax
004DB4C1 55
push ebp
004DB4C2 6863B64D00
push $004DB663
004DB4C7 64FF30
push dword ptr fs:[eax]
004DB4CA 648920
mov fs:[eax], esp
004DB4CD 8D55F8
lea edx, [ebp-$08]
004DB4D0
8B83F8020000 mov eax, [ebx+$02F8]
004DB4D6 E80D9CF5FF call
004350E8
004DB4DB 837DF800
cmp dword ptr [ebp-$08], +$00
004DB4DF 751A
jnz 004DB4FB
004DB4E1 6A00
push $00
004DB4E3 668B0D70B64D00
mov cx, word ptr [$4DB670]
004DB4EA B202
mov dl, $02
004DB4EC B87CB64D00 mov
eax, $004DB67C
004DB4F1 E8D601F8FF
call 0045B6CC
004DB4F6 E918010000
jmp 004DB613
004DB4FB
A1F0535000 mov eax, dword
ptr [$5053F0]
004DB500 803800
cmp byte ptr [eax], $00
004DB503 0F8503010000
jnz 004DB60C 必須跳
-----------------------------------cut------------------------------------------
走到這:
004DB60E E82DFCFFFF
call 004DB240 -->進入
-----------------------------------cut-------------------------------------------
走到這:
:004DB2BF 84C0
test al, al
:004DB2C1 0F8426010000
je 004DB3ED 必須跳
這時不斷的看看資料視窗,多用D命令,會看到很多有趣的東西,都是和註冊有關的檔案和登錄檔內容。好了,走完後看看檔案所在目錄有了相應的變化,會產生一個XXXX.KEY檔案XXXX為隨機的四位數字,我的時6026.key,內容是“13131313”同時在Search資料夾裡的reg檔案裡也新增了內容:
[set]
regfile=6026.key
什麼意思就不用我多說了吧,登錄檔中也加了一個鍵:
[HKEY_CURRENT_USER\Software\Sealine\fb\user]
@="Tennight.C"
好了,名字和註冊碼的地方都有了,沒什麼好看的了,下CreateFileA斷點,當開啟6026.key時跟就好了,可以看到程式讀你的名字和註冊碼,走到4D4A9A就是比較核心了,是最簡單的比較,沒有加密,我的名字經過計算是7664350014,將這個值填入6026.key中替換假的註冊碼,重新啟動程式,這個世界又清淨了!
寫於寶貝不在身邊的無聊歲月!