爆解windows程式管理大師!V3.0.1(高手莫入) (6千字)

看雪資料發表於2015-11-15
Windows

爆解windows程式管理大師!V3.0.1(高手莫入)
作者:396
軟體下載:http://go2.163.com/~meatbird/ProcCH.zip
軟體介紹:Windows下的程式和檔案管理程式,可以檢視所有在記憶體中執行的程式,以及它們所用到的連結庫或其他檔案,
並可以終止任意指定的程式,同時提供對指定的程式進行監控。和同步更新幾個指定的檔案的功能。
相容Win98,Win95,WinNT,Win2000。3.0.1版相容各語言平臺
=====================================================================
用w32dasm黃金版開啟Proc.exe,尋找字串,發現“註冊成功!”
見下面:
* Possible StringData Ref from Code Obj ->"恭喜您"
                                  |
:0048D374 B934D44800              mov ecx, 0048D434

* Possible StringData Ref from Code Obj ->"註冊成功!"
向上看:
:0048D331 E87238FAFF              call 00430BA8
:0048D336 8B45F4                  mov eax, dword ptr [ebp-0C]
:0048D339 8D55F8                  lea edx, dword ptr [ebp-08]
:0048D33C E86744FFFF              call 004817A8
:0048D341 8B55F8                  mov edx, dword ptr [ebp-08]
:0048D344 58                      pop eax
:0048D345 E8526BF7FF              call 00403E9C
:0048D34A 754D                    jne 0048D399<-------------跳轉則失敗!(1)

* Possible StringData Ref from Code Obj ->"windows程式管理大師"
                                  |
:0048D34C BA20D44800              mov edx, 0048D420
:0048D351 8BC3                    mov eax, ebx
:0048D353 E88038FAFF              call 00430BD8
:0048D358 33D2                    xor edx, edx
:0048D35A 8B8378040000            mov eax, dword ptr [ebx+00000478]
:0048D360 8B08                    mov ecx, dword ptr [eax]
改(1)jne 為nop,即754d 改為9090,存檔執行註冊成功!但開始仍顯示出現“歡迎使用《windows程式管理大師》!您有30天的試用期”對話方塊。
回到w32dasm黃金版尋找這個字串,找到:

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00486E3D(C)
.
.

* Possible StringData Ref from Code Obj ->"歡迎使用《windows程式管理大師》!您有30天的試?
                                        ->"用期?
在00486E3D呼叫了此,轉到00486E3D:
                                  |
:00486DFF BA3C764800              mov edx, 0048763C
:00486E04 A174194900              mov eax, dword ptr [00491974]
:00486E09 8B30                    mov esi, dword ptr [eax]
:00486E0B FF5610                  call [esi+10]
:00486E0E A28C084900              mov byte ptr [0049088C], al
:00486E13 8A158C084900            mov dl, byte ptr [0049088C]
:00486E19 8B83B8040000            mov eax, dword ptr [ebx+000004B8]
:00486E1F 8B08                    mov ecx, dword ptr [eax]
:00486E21 FF91B8000000            call dword ptr [ecx+000000B8]
:00486E27 8D55D0                  lea edx, dword ptr [ebp-30]
:00486E2A 8B45F8                  mov eax, dword ptr [ebp-08]
:00486E2D E876A9FFFF              call 004817A8
:00486E32 8B45D0                  mov eax, dword ptr [ebp-30]
:00486E35 8B55F4                  mov edx, dword ptr [ebp-0C]
:00486E38 E85FD0F7FF              call 00403E9C
:00486E3D 0F85B8000000            jne 00486EFB〈-------------(2)

* Possible StringData Ref from Code Obj ->"windows程式管理大師"
標準的風飄雪說的經典比較組合:
move eax ?????
move edx ?????
call ?????
jne ?????
在此下斷點可找到註冊碼。
在(2)修改0f85為0f84,存檔執行對話方塊消失,執行正常。
但把時間往後調一年,又出現有求註冊,註冊不成功,出現"錯誤的註冊資訊,請重試!"
回到w32dasm黃金版尋找這個字串,找到:
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0048E193(C)
|
:0048E26C 6A00                    push 00000000
:0048E26E 668B0D20E34800          mov cx, word ptr [0048E320]
:0048E275 B203                    mov dl, 03

* Possible StringData Ref from Code Obj ->"錯誤的註冊資訊,請重試!"
在0048E193呼叫了此,轉到0048E193:
:0048E13D 8D4000                  lea eax, dword ptr [eax+00]
:0048E140 55                      push ebp
:0048E141 8BEC                    mov ebp, esp
:0048E143 33C9                    xor ecx, ecx
:0048E145 51                      push ecx
:0048E146 51                      push ecx
:0048E147 51                      push ecx
:0048E148 51                      push ecx
:0048E149 51                      push ecx
:0048E14A 51                      push ecx
:0048E14B 51                      push ecx
:0048E14C 53                      push ebx
:0048E14D 56                      push esi
:0048E14E 57                      push edi
:0048E14F 8BD8                    mov ebx, eax
:0048E151 33C0                    xor eax, eax
:0048E153 55                      push ebp
:0048E154 68BEE24800              push 0048E2BE
:0048E159 64FF30                  push dword ptr fs:[eax]
:0048E15C 648920                  mov dword ptr fs:[eax], esp
:0048E15F 8D55F8                  lea edx, dword ptr [ebp-08]
:0048E162 8B83DC020000            mov eax, dword ptr [ebx+000002DC]
:0048E168 E83B2AFAFF              call 00430BA8
:0048E16D 8B45F8                  mov eax, dword ptr [ebp-08]
:0048E170 8D55FC                  lea edx, dword ptr [ebp-04]
:0048E173 E83036FFFF              call 004817A8
:0048E178 8B45FC                  mov eax, dword ptr [ebp-04]
:0048E17B 50                      push eax
:0048E17C 8D55F4                  lea edx, dword ptr [ebp-0C]
:0048E17F 8B83E0020000            mov eax, dword ptr [ebx+000002E0]
:0048E185 E81E2AFAFF              call 00430BA8
:0048E18A 8B55F4                  mov edx, dword ptr [ebp-0C]
:0048E18D 58                      pop eax
:0048E18E E8095DF7FF              call 00403E9C
:0048E193 0F85D3000000            jne 0048E26C<-------------(3)
:0048E199 8D55EC                  lea edx, dword ptr [ebp-14]
:0048E19C A1700B4900              mov eax, dword ptr [00490B70]
:0048E1A1 8B00                    mov eax, dword ptr [eax]
:0048E1A3 E83812FCFF              call 0044F3E0
:0048E1A8 8B45EC                  mov eax, dword ptr [ebp-14]
:0048E1AB 8D55F0                  lea edx, dword ptr [ebp-10]
:0048E1AE E809A7F7FF              call 004088BC
:0048E1B3 8D45F0                  lea eax, dword ptr [ebp-10]
在(3)修改0f85為0f84,存檔執行對話方塊消失,執行正常。一切OK!收工!
=================================================================

396
junpo@fashida.com
主頁:http://www.zmdinfo.net

相關文章