1.png (55.6 KB, 下载次数: 0)
下载附件
2021-10-7 10:25 上传
打开注册表检查,发现这里有机器码,注册码,如果注册码校验成功就是已注册状态。不会提示注册。
3.png (93.59 KB, 下载次数: 0)
下载附件
2021-10-7 10:25 上传
下面我们用oD截入,在注册表下一个断点
2.png (78.02 KB, 下载次数: 0)
下载附件
2021-10-7 10:25 上传
运行到注册表位置,右键,反汇编窗口跟随
4.png (52.62 KB, 下载次数: 0)
下载附件
2021-10-7 10:25 上传
按ALT+F9,或执行到用户代码
5.png (32.51 KB, 下载次数: 0)
下载附件
2021-10-7 10:25 上传
6.png (37.01 KB, 下载次数: 0)
下载附件
2021-10-7 10:25 上传
出现机器码
8.png (59.48 KB, 下载次数: 0)
下载附件
2021-10-7 10:25 上传
出现真码 ,这个真码输入注册表或用于注册就会成功。
9.png (46.85 KB, 下载次数: 0)
下载附件
2021-10-7 10:25 上传
真码与假码的对比,那么这个call就是关键call,jnz,就是关键跳。
7.png (52.2 KB, 下载次数: 0)
下载附件
2021-10-7 10:25 上传
我们把jnz改成je,
10.png (72.65 KB, 下载次数: 0)
下载附件
2021-10-7 10:25 上传
找到007B5240 . 80B8 6C0A0000>cmp byte ptr ds:[eax+0xA6C],0x0,右键查找常量
image.png (30.68 KB, 下载次数: 0)
下载附件
2021-10-7 10:39 上传
将标出的1改为0,解决第一个红块
13.png (10.31 KB, 下载次数: 0)
下载附件
2021-10-7 10:25 上传
找到00755348 |. 80B8 6D0A0000>cmp byte ptr ds:[eax+0xA6D],0x1 右键查找常量
15.png (58.41 KB, 下载次数: 0)
下载附件
2021-10-7 10:25 上传
将标出的的位置将1改为0,解决第二个红块
。
16.png (9.06 KB, 下载次数: 0)
下载附件
2021-10-7 10:44 上传
然后将文件保存,暗桩去除
image.png (146.73 KB, 下载次数: 0)
下载附件
2021-10-7 10:46 上传
