《第3期-14 注册表返回值快速定位》学习笔记

2018-12-27  本文已影响0人  听说我在混吃等死

用作例子的软件是 HyperSnap 7 专业版


在未注册时,一打开会提示注册,猜测这是从注册表中读取了注册信息,所以可以对注册表操作函数下断点,从而找到验证的关键代码并进行分析修改达到破解的目的。
一、
1、来到软件主程序,右键——查找——所有模块间调用


根据前面的经验,知道注册表函数都以Reg开头,所以可以按键盘上的r e g键,这会自动跳到以Reg开头的函数那里。


我们要寻找的是打开注册表的函数,找到后右键,对每个调用下断点。
2、重新载入程序并运行,断下来后观察堆栈窗口中是否会出现和进程名HyperSnap相似的字符串。
出现后就单步跟踪,还可能得跳出call后继续跟踪。主要是看读取注册信息的代码所在的call返回值是否是0或者1。
如果出call后发现返回值不是0也不是1,证明这个call就不是关键call,要么继续出call;要么继续F9,找下一个断下来的。这是最要紧最难的一步了,也就是在这一步找到了关键call。
在第10次断下来后,出call一次还得再出call一次,才找到了关键call。
在这一过程中,看到可疑的关键处,可以修改一下试试,看能够达到破解目的。

004A0B5E  |.  E8 2DBA0800   call    0052C590                                  ;  这个就是关键call了。第2次出call会来到这里
004A0B63  |.  A3 F0B07200   mov     dword ptr ds:[0x72B0F0],eax               ;  关键处,eax的值影响了验证是否通过
004A0B68  |.  E8 53CD0900   call    0053D8C0

3、原本想直接修改关键call的返回值,但是OD提示重定位的问题


那么只好对关键call进行替换了

004A0B5E      B8 01000000                     mov     eax,0x1                                   ;  把关键call替换了
004A0B63  |.  A3 F0B07200                     mov     dword ptr ds:[0x72B0F0],eax               ;  关键处,eax的值影响了验证是否通过
004A0B68  |.  E8 53CD0900                     call    0053D8C0
上一篇下一篇

猜你喜欢

热点阅读