《学生评语系统》的破解过程(14千字)
日06:37 来源:
该软件加了PEcompact壳,可以用风飘雪的脱壳机脱壳,然后就能看到它是用DELPHI编写的。用W32dasm8反汇编。 该软件加了PEcompact壳,可以用风飘雪的脱壳机脱壳,然后就能看到它是用DELPHI编 写的。用W32dasm8反汇编。 试着运行软件,进行注册,先要让你填用户名和单位、地址,注意字数要够。然后点击生成 注册码文件。分析注册码文件,看到里面有一行字串: userid=5 5004132 2550 点击注册,提示:没有有效的注册信息。在W32dasm反汇编的文件中搜索:“注册” :0052C3AC E86F03F2FF call : 837DE800 cmp dword ptr [ebp-18], : 7522 jne
//在这跳,为了更好的观 察,我先不让它强行跳, 看如何才能真正的跳。 : 6A10 push * Possible StringData Ref from Code Obj -&"错误" : B9E4C45200 mov ecx, * Possible StringData Ref from Code Obj -&"文件中不存在有效的注册信息" :0052C3BE BAECC45200 mov edx, 0052C4EC : A1F0285600 mov eax, dword ptr [] : 8B00 mov eax, dword ptr [eax] :0052C3CA E8F909F4FF call 0046CDC8 //出现错误,看哪能跳过 :0052C3CF E8647FEDFF call : E9A6000000 jmp 0052C47F ? Referenced by a (U)nconditional or (C)onditional JumpatAddress: 》》》 》》》 在W32dasm反汇编的文件中搜索:“userid”,找到: :D4598 lea eax, dword ptr [ebp-68] : push eax * Possible StringData Ref from Code Obj -&"userid"//关键字 :CCBB5000 mov ecx, 0050BBCC * Possible StringData Ref from Code Obj-&"register"//关键字,所以在注册文件中写入一 行。 :0050B65C BAB8BB5000 mov edx, 0050BBB8 注册文件的内容设为: userid=5 5004132 2550 register= 8798449 3759873(注:数字是乱填的) 这回上面的错误提示没有了,接着看: 由上面跳到这: * Referenced by a (U)nconditional or (C)onditional JumpatAddress: :(C) : 33C0 xor eax, eax :0052C3DB 5A pop edx :0052C3DC 59 pop ecx :0052C3DD 59 pop ecx :0052C3DE 648910 mov dword ptr fs:[eax], edx : 68F8C35200 push * Referenced by a (U)nconditional or (C)onditional JumpatAddress: :(U) : B201 mov dl, 01 : 8B45F8 mov eax, dword ptr [ebp-08] :0052C3EB 8B08 mov ecx, dword ptr [eax] :0052C3ED FF51FC call [ecx-04] : C3 ret : E99A7DEDFF jmp : EBEE jmp : A1A4245600 mov eax, dword ptr [] :0052C3FD C60001 mov byte ptr [eax], 01 :D55E4 lea edx, dword ptr [ebp-1C] :B45FC mov eax, dword ptr [ebp-04] :B mov eax, dword ptr [eax+] :0052C40C E80F03F2FF call :B4DE4 mov ecx, dword ptr [ebp-1C] :B55F4 mov edx, dword ptr [ebp-0C] :1 mov al, 01 :202FEFF call
//注册判断关键CALL :0052C41E E86531FEFF call :4265600 mov eax, dword ptr [] :B00 mov eax, dword ptr [eax] :0052C42A E831D3EDFF call :0052C42F E8901BFEFF call 0050DFC4 :A4245600 mov eax, dword ptr [] :800 cmp byte ptr [eax], 00 //注意看EAX中的地址: 0056446C,下中断BPM 0056446C,重新跟踪。 :1A je
//关键跳转,直接改虽然可以看到 注册正确的提示,但不行。 :A40 push * Possible StringData Ref from Code Obj -&"提示" :8C55200 mov ecx, * Possible StringData Ref from Code Obj -&"注册成功!感谢您的支持!" : BA10C55200 mov edx, :0052C44A A1F0285600 mov eax, dword ptr [] :B00 mov eax, dword ptr [eax] :209F4FF call 0046CDC8 : EB18 jmp * Referenced by a (U)nconditional or (C)onditional JumpatAddress: :0052C43C(C) :A10 push * Possible StringData Ref from Code Obj -&"错误" :0052C45A B9E4C45200 mov ecx, * Possible StringData Ref from Code Obj -&"注册失败,请与作者联系!" :0052C45F BA2CC55200 mov edx, 0052C52C :F0285600 mov eax, dword ptr [] :B00 mov eax, dword ptr [eax] :0052C46B E85809F4FF call 0046CDC8 * Referenced by a (U)nconditional or (C)onditional JumpatAddress: :(U) :B45FC mov eax, dword ptr [ebp-04] :4CFF3FF call 0046939C : mov byte ptr [], 01 * Referenced by a (U)nconditional or (C)onditional JumpatAddresses: :0052C32A(C), :(U) :C0 xor eax, eax :A pop edx : pop ecx : pop ecx :910 mov dword ptr fs:[eax], edx :B9C45200 push * Referenced by a (U)nconditional or (C)onditional JumpatAddress: :(U) :D45E4 lea eax, dword ptr [ebp-1C] :0052C48F BA mov edx, :D383EDFF call 0040486C :D45EC lea eax, dword ptr [ebp-14] :0052C49C E8A783EDFF call : 8D45F0 lea eax, dword ptr [ebp-10] : E89F83EDFF call : 8D45F4 lea eax, dword ptr [ebp-0C] :0052C4AC E89783EDFF call : C3 ret 0056446C是关键的判断注册与否的地址,但每次运行时软件要对它重新判断赋值。调用的 代码段和上面判断注册时是同一段。其关键CALL是上面的处的: * Referenced by a CALL at Addresses: : , :0052C60A , : : push ebp :BEC mov ebp, esp 。。。《略》 。。。 :5EC mov dword ptr [ebp-14], eax :5F300 mov [ebp-0D], 00 :56C mov byte ptr [0056446C], 00 //赋初始值 :D45E0 lea eax, dword ptr [ebp-20] * Possible StringData Ref from Code Obj -&"\wlm.dat" :FCCB5000 mov ecx, 0050CBFC :B mov edx, dword ptr [] :0050C69C E8AB84EFFF call 00404B4C * Referenced by a (U)nconditional or (C)onditional JumpatAddress: :0050C62D(C) : 8B45E0 mov eax, dword ptr [ebp-20] * Possible StringData Ref from Code Obj -&"wlm" : BA10CC5000 mov edx, 0050CC10 : E83E190000 call 0050DFEC :0050C6AE B201 mov dl, 01 : A mov eax, dword ptr [] : E88A6AF6FF call :0050C6BA 8945E8 mov dword ptr [ebp-18], eax :0050C6BD 807DFF00 cmp byte ptr [ebp-01], 00 : 0F jne : BA mov edx, :0050C6CC 8B45E8 mov eax, dword ptr [ebp-18] :0050C6CF E8106BF6FF call : B101 mov cl, 01 * Possible StringData Ref from Code Obj-&"Software\学生评语管理系统"//写入注册表 : BA1CCC5000 mov edx, 0050CC1C :0050C6DB 8B45E8 mov eax, dword ptr [ebp-18] :0050C6DE E8656BF6FF call : 84C0 test al, al : 7413 je 0050C6FA : 8B0D mov ecx, dword ptr [] * Possible StringData Ref from Code Obj-&"installpath"//写入注册表 :0050C6ED BA40CC5000 mov edx, 0050CC40 : 8B45E8 mov eax, dword ptr [ebp-18] : E8EA6CF6FF call * Referenced by a (U)nconditional or (C)onditional JumpatAddress: :(C) :0050C6FA 8B45E8 mov eax, dword ptr [ebp-18] :0050C6FD E8B26AF6FF call : BA mov edx, :B45E8 mov eax, dword ptr [ebp-18] :0050C70A E8D56AF6FF call :0050C70F B101 mov cl, 01 * Possible StringData Ref from CodeObj-&"Software\Microsoft\Windows\CurrentVersion" ////写 入注册表中 的位置 : BA54CC5000 mov edx, 0050CC54 :B45E8 mov eax, dword ptr [ebp-18] :A6BF6FF call :C0 test al, al :F84E3010000 je * Possible StringData Ref from Code Obj-&"ProductWRemark"//注册表中关键性的键值,是 否注册,是否到使用次数等都决定于它,后面还会出现多处。 : BA88CC5000 mov edx, 0050CC88 。。。《略》 。。。 : push eax :D4DD0 lea ecx, dword ptr [ebp-30] * Possible StringData Ref from Code Obj -&"ProductWRemark" : BA88CC5000 mov edx, 0050CC88 。。。《略》 。。。 :D4DC4 lea ecx, dword ptr [ebp-3C] * Possible StringData Ref from Code Obj -&"ProductWRemark" :0050C78A BA88CC5000 mov edx, 0050CC88 。。。《略》 。。。 :BA97FF mov dx, FF97 :FD5FFFF call 00509E18 :B4DC0 mov ecx, dword ptr [ebp-40] * Possible StringData Ref from Code Obj -&"ProductWRemark" :0050C88C BA88CC5000 mov edx, 0050CC88 :B45E8 mov eax, dword ptr [ebp-18] 。。。《略》 。。。 : E81FD5FFFF call 00509E18 : 8B4DB0 mov ecx, dword ptr [ebp-50] * Possible StringData Ref from Code Obj -&"ProductWRemark" :0050C8FC BA88CC5000 mov edx, 0050CC88 。。。《略》 。。。 :0050C92F E8B068F6FF call :1 mov cl, 01 * Possible StringData Ref from CodeObj-&"Software\Microsoft\Windows\CurrentVersion" : BA54CC5000 mov edx, 0050CC54 :B45E8 mov eax, dword ptr [ebp-18] :0050C93E E80569F6FF call :C0 test al, al :F84AF010000 je 0050CAFA :D45E4 lea eax, dword ptr [ebp-1C] :B55F4 mov edx, dword ptr [ebp-0C] :A7FEFFF call :D55A4 lea edx, dword ptr [ebp-5C] :B45E4 mov eax, dword ptr [ebp-1C] //送入register值 :0050C95C E843CAEFFF call :B55A4 mov edx, dword ptr [ebp-5C] :B45F8 mov eax, dword ptr [ebp-08] //送入usterid值 :C8DDFFFF call
//关键判断CALL,想知道算法 的话,就跟进去。我比较懒。 :C0 test al, al :F je 0050CAB5 //此处不让它跳就成功一半了!! :C0 xor eax, eax : push ebp :E9C95000 push :FF30 push dword ptr fs:[eax] :8920 mov dword ptr fs:[eax], esp :12C0000 call :D4598 lea eax, dword ptr [ebp-68] :0050C98A B9C4CC5000 mov ecx, 0050CCC4 :B mov edx, dword ptr [] :B281EFFF call 00404B4C :B4598 mov eax, dword ptr [ebp-68] :D4D9C lea ecx, dword ptr [ebp-64] : 66BA14E2 mov dx, E214 : E86FD4FFFF call 00509E18 : 8B459C mov eax, dword ptr [ebp-64] :0050C9AC 8D4DA0 lea ecx, dword ptr [ebp-60] :0050C9AF 66BA97FF mov dx, FF97 : E860D4FFFF call 00509E18 : 8B4DA0 mov ecx, dword ptr [ebp-60] * Possible StringData Ref from Code Obj -&"ProductWRemark" :0050C9BB BA88CC5000 mov edx, 0050CC88 : 8B45E8 mov eax, dword ptr [ebp-18] : E81C6AF6FF call : C1 mov byte ptr [0056446C],01//此处赋注册正确的 值。 :0050C9CF 8B45E8 mov eax, dword ptr [ebp-18] : E8DD67F6FF call : 8B45E8 mov eax, dword ptr [ebp-18] :0050C9DA E81D70EFFF call 004039FC :0050C9DF 33C0 xor eax, eax : 5A pop edx : 59 pop ecx : 59 pop ecx : 648910 mov dword ptr fs:[eax], edx : EB0A jmp : E9EE74EFFF jmp 00403EDC :0050C9EE E81579EFFF call 》》》 》》》 总结:在0050C96E处下断点,改跳转,就显示注册成功了,将注册表中值导出成注册文件。 REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion] "ProductWRemark"="BB21C32E08E9F15F750A"
【作者:佚名 来源:】
(责任编辑:和讯网站)
05/18 11:1505/13 10:2505/13 10:2505/13 10:2505/05 10:14
感谢您的参与!查看[]dword ptr [eax]
FF50 0C call dword ptr [eax+C] ; 进入这个call BF8 mov edi, eax C6 08 add esi, 8 push edi A40A0601 push 01060AA4 ; ASCII &Logout_Optimize CheckMultiInstanceRunning() return [%d]& push esi F3DCFFFF call 0104C57A C4 0C add esp,密宗佛像, 0C BC7 mov eax, edi F pop edi E pop esi 0104E88E C3 retn push esi push edi BF9 mov edi, ecx BB7 AC010000 mov esi, dword ptr [edi+1AC] F6 test esi, esi 1E je short 0104E8BB 0104E89D E8 ECD40000 call 0105BD8E 85C0 test eax,韩国辣椒碎, eax 74 0E je short
85F6 test esi, esi 74 0A je short
0104E8AA 8B10 mov edx, dword ptr [eax] 0104E8AC 6A 00 push 0 0104E8AE 56 push esi 0104E8AF 8BC8 mov ecx, eax FF52 0C call dword ptr [edx+C] 83A7 AC&and dword ptr [edi+1AC], 0 0104E8BB 5F pop edi 0104E8BC 5E pop esi 0104E8BD C3 retn 0104E8BE 56 push esi 0104E8BF 8BF1 mov esi, ecx 57 push edi 8DBE B0010000 lea edi, dword ptr [esi+1B0] 57 push edi 68 0A510000 push 510A 0104E8CE 68 D0010601 push
; ASCII &MainLogi.dll& E8 E4A30000 call 01058CBC 85C0 test eax,笔记本电脑托架, eax 0104E8DA 74 2D je short
0104E8DC 6A 00 push 0 0104E8DE 68 080B0601 push 01060B08 ; ASCII &Key& 68 4C020601 push 0106024C ; ASCII &BossKey& 68
; ASCII &config\original\BossKey.ini& 0104E8ED 8D8E
lea ecx, dword ptr [esi+108] E8 E2750000 call 01055EDA 85C0 test eax,pvc透明板, eax 0104E8FA 75 03 jnz short 0104E8FF 0104E8FC 6A 51 push 51 0104E8FE 58 pop eax 0104E8FF 8B0F mov ecx, dword ptr [edi] push eax A 01 push 1 B11 mov edx, dword ptr [ecx] FF52 10 call dword ptr [edx+10] ; 弹出对话框 F pop edi E pop esi 0104E90B C3 retn push ecx push ebx push ebp push esi push edi BF9 mov edi, ecx BD 080B0601 mov ebp, 01060B08 ; ASCII &Key& A 00 push 0 0104E91A BE 4C020601 mov esi, 0106024C ; ASCII &BossKey& D9F
lea ebx,人物雕塑, dword ptr [edi+108] push ebp push esi
; ASCII &BossKey.ini& BCB mov ecx, ebx 0104E92E E8
call 01055E7B C0 test eax, eax 424 10 mov dword ptr [esp+10],铜雕佛像, eax 40 je short 0104E97B A 00 push 0 push ebp push esi
; ASCII &config\original\BossKey.ini& BCB mov ecx, ebx 8F750000 call 01055EDA C0 test eax, eax 03 jnz short
A 51 push 51 pop eax B4424 10 cmp eax,不锈钢储存罐, dword ptr [esp+10] 23 je short 0104E97B FF7424 10 push dword ptr [esp+10] BCB mov ecx, ebx push ebp push esi
; ASCII &config\original\BossKey.ini& EB730000 call 01055D55 B8F B0010000 mov ecx, dword ptr [edi+1B0] FF7424 10 push dword ptr [esp+10] B01 mov eax, dword ptr [ecx] A 01 push 1 FF50 10 call dword ptr [eax+10] A 00 push 0
; ASCII &HideTipNotFirstShow& push esi
; ASCII &BossKey.ini& BCB mov ecx, ebx 0104E98A E8 EC740000 call 01055E7B BBF
mov edi, dword ptr [edi+918] C9 xor ecx,水泥砌块制砖机, ecx C0 test eax,http://www.tongdiao189.com/tdch_650.html, eax F95C1 setne cl FF test edi, edi BF1 mov esi,http://www.txgbds.com/ds_667.html, ecx 74 08 je short 0104E9AA 8B07 mov eax,铜雕塑, dword ptr [edi] 56 push esi 8BCF mov ecx,铜雕厂家, edi FF50 28 call dword ptr [eax+28] 0104E9AA 8BC6 mov eax,http://www.bdthgd.com, esi 0104E9AC 5F pop edi 0104E9AD 5E pop esi 0104E9AE 5D pop ebp 0104E9AF 5B pop ebx 59 pop ecx C3 retn 55 push ebp 8BEC mov ebp, esp 51 push ecx 53 push ebx 56 push esi 57 push edi 8BF9 mov edi,http://www.txgbds.com/ds_676.html, ecx 0104E9BB 8DB7 B8010000 lea esi,PP塑料板, dword ptr [edi+1B8] 56 push esi 68
push 6300001 68 0C0B0601 push 01060B0C ; ASCII &ComAsyn.dll& 0104E9CC E8 EBA20000 call 01058CBC 8BD8 mov ebx, eax 85DB test ebx, ebx 74 23 je short 0104E9FA 8B36 mov esi, dword ptr [esi] 8365 FC 00 and dword ptr [ebp-4], 0 0104E9DD 8D45 FC lea eax, dword ptr [ebp-4] 8BCF mov ecx,紫铜浮雕, edi 50 push eax E8 D5660000 call 010550BD 85C0 test eax, eax 0104E9EA 74 0E je short 0104E9FA 0104E9EC 8B4D FC mov ecx, dword ptr [ebp-4] 0104E9EF 56 push esi 68 01D00200 push 2D001 8B01 mov eax, dword ptr [ecx] FF50 14 call dword ptr [eax+14] 0104E9FA 5F pop edi 0104E9FB 8BC3 mov eax,LED路灯价格, ebx 0104E9FD 5E pop esi 0104E9FE 5B pop ebx 0104E9FF C9 leave retn B9 &cmp dword ptr [ecx+158], 0 D81
lea eax, dword ptr [ecx+158] 10 jnz short 0104EA20 push eax 01D00000 push 0D001 180B0601 push 01060B18 ; ASCII &UIStyle.dll& 0104EA1B E8 9CA20000 call 01058CBC retn 0104EA21 ^ E9 DFFDFFFF jmp
C24 04 00 cmp dword ptr [esp+4], 0 push esi BF1 mov esi, ecx 1E je short 0104EA4E 240B0601 push 01060B24 ; ASCII &speedlaunch& 0104EA35 FF7424 0C push dword ptr [esp+C] 0104EA39 FF15 F4D00501 call dword ptr [&&MSVCRT._mbsicmp&] ; msvcrt._mbsicmp pop ecx C0 test eax,平板喷绘, eax pop ecx 09 jnz short 0104EA4E BCE mov ecx, esi 0D000000 call 0104EA59 0104EA4C EB 07 jmp short 0104EA55 BCE mov ecx, esi 4F010000 call 0104EBA4 ; 详细热键call E pop esi 0400 retn 4 push ecx push ecx push ebx push ebp push esi push edi B3D 74D00501 mov edi, dword ptr [&&KERNEL32.GetTi&; kernel32.GetTickCount BF1 mov esi, ecx 0104EA67 FFD7 call edi 424 10 mov dword ptr [esp+10], eax D46 08 lea eax, dword ptr [esi+8] 0104EA70 FF7424 10 push dword ptr [esp+10] 424 18 mov dword ptr [esp+18],托辊, eax D00B0601 push 01060BD0 ; ASCII &Login_Optimize,CQQGameMainLogic::SpeedLaunchStart up() tick=%u& push eax 0104EA7E E8 D471FFFF call 01045C57 C4 0C add esp, 0C BCE mov ecx, esi
call 01053E1F BCE mov ecx, esi 0104EA8F E8 6DFFFFFF call 0104EA01 D9E
lea ebx, dword ptr [esi+174] 0104EA9A BD D0010601 mov ebp,http://www.tongdiao189.com/tdch_648.html,
; ASCII &MainLogi.dll&cmp word ptr [esp+0c], 07e2什么意思_百度知道
cmp word ptr [esp+0c], 07e2什么意思
* Reference To: KERNEL32.GetSystemTime, Ord:0000h
|:0040168E FF
Call dword ptr []:17C240CE207
cmp word ptr [esp+0C], 07E2:F837E010000
jnb 0040181F: B
mov ecx, : 33C0
xor eax, eax: 8D7C241C
lea edi, dword ptr [esp+1C]:004016AC
stosd: 8D4C2420
lea ecx, dword ptr [esp+20]: 51
我有更好的答案
将内存中基于数据段偏移esp+0c处(即ds*10H+esp+0c)的数据与7e2H相比较(相减),运算结果仅改变相关标志位,在这里是 取CF 标志位判断并跳转
采纳率:35%
为您推荐:
其他类似问题
esp的相关知识
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。加入时间: 月光软件站
作者:lordor来自:NukeGroup网页:论坛:
前言:这里列出一种cracker跟踪的方法,用来手动清除恶意网页代码带来的恶果。
使用Mozilla1浏览总是会有一些问题,如有时不能解析主页地址什么。但用IE的话会经常遭到恶意网页的伏击。
很不幸,我今天中招了:病毒(还好有KV杀了),禁用注册表,不能修改默认主页。真是可恶,现在我们来看看恶意网页的是怎么攻击的
用ollydbg载入regedit.exe程序
0100734A& PUSH ESI0100734B& PUSH EDI0100734C& CALL DWORD PTR DS:[&&KERNEL32.GetThreadL&; [GetThreadLocale& XOR EBP,EBP& PUSH EBP&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ; /pModule =& NULL& CALL DWORD PTR DS:[&&KERNEL32.GetModuleH&; \GetModuleHandleW0100735B& PUSH EBP&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ; /Title =& NULL0100735C& PUSH regedit.&&&&&&&&&&&&&&&&&&& ; |Class = "RegEdit_RegEdit"& MOV DWORD PTR DS:[104C3E0],EAX&&&&&&&&&& ; |& CALL DWORD PTR DS:[&&USER32.FindWindowW&&; \FindWindowW0100736C& MOV ESI,EAX0100736E& CALL regedit.& DEC EAX&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;& Switch (cases 1..2)& JE regedit.0100737A& DEC EAX0100737B& JE regedit.& CMP ESI,EBP&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;& Default case of switch & JE SHORT regedit.& PUSH ESI&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ; /hWnd& CALL DWORD PTR DS:[&&USER32.IsIconic&]&& ; \IsIconic0100738C& TEST EAX,EAX0100738E& JE SHORT regedit.0100739E& PUSH 9&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ; /ShowState = SW_RESTORE& PUSH ESI&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ; |hWnd& CALL DWORD PTR DS:[&&USER32.ShowWindow&] ; \ShowWindow& JMP regedit.0100739E& MOV EDI,DWORD PTR DS:[&&USER32.BringWind&;& USER32.BringWindowToTop& PUSH ESI&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ; /hWnd& CALL EDI&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ; \BringWindowToTop& PUSH ESI&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ; /hOwner& CALL DWORD PTR DS:[&&USER32.GetLastActiv&; \GetLastActivePopup010073AE& MOV EBX,EAX& CMP EBX,ESI& JE SHORT regedit.& PUSH EBX&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ; /hWnd& CALL EDI&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ; \BringWindowToTop& PUSH EBX&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ; /hWnd& CALL DWORD PTR DS:[&&USER32.SetForegroun&; \SetForegroundWindow010073BE& JMP regedit.& CALL regedit.010075ED&&==&关键call,请看下面& TEST EAX,EAX&&&==&测试是否禁用010073CA& JE SHORT regedit.010073CC& PUSH 10010073CE& PUSH 10& PUSH 28& PUSH EBP& PUSH DWORD PTR DS:[104C3E0]&&&&&&&&&&&&& ;& regedit.& CALL regedit.&&==&显示信息&010073DE& ADD ESP,14& JMP regedit.& PUSH 1C
-----------------------& CALL regedit.010075ED&
010075ED&&& PUSH EBP010075EE&&& MOV EBP,ESP&&& SUB ESP,10&&& LEA EAX,DWORD PTR SS:[EBP-8]&&& PUSH EDI&&& PUSH EAX&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ; /pHandle&&& PUSH regedit.&&&&&&&&&&&&&&&&&&& ; |Subkey = "Software\Microsoft\Windows\CurrentVersion\Policies\System"010075FD&&& PUSH &&&&&&&&&&&&&&&&&&&&&&&&&&& ; |hKey = HKEY_CURRENT_USER&&& XOR EDI,EDI&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ; |&&& CALL DWORD PTR DS:[&&ADVAPI32.RegOpenKey&; \RegOpenKeyW0100760A&&& TEST EAX,EAX0100760C&&& JNZ SHORT regedit.&&&==&改这里跳过即可0100760E&&& LEA EAX,DWORD PTR SS:[EBP-4]&&& MOV DWORD PTR SS:[EBP-4],4&&& PUSH EAX&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ; /pBufSize&&& LEA EAX,DWORD PTR SS:[EBP-10]&&&&&&&&&&& ; |0100761C&&& PUSH EAX&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ; |Buffer0100761D&&& LEA EAX,DWORD PTR SS:[EBP-C]&&&&&&&&&&&& ; |&&& PUSH EAX&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ; |pValueType&&& PUSH EDI&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ; |Reserved =& NULL&&& PUSH regedit.0100175C&&&&&&&&&&&&&&&&&&& ; |ValueName = "DisableRegistryTools"&&& PUSH DWORD PTR SS:[EBP-8]&&&&&&&&&&&&&&& ; |hKey0100762A&&& CALL DWORD PTR DS:[&&ADVAPI32.RegQueryVa&; \RegQueryValueExW&&& TEST EAX,EAX&&& JNZ SHORT regedit.&&& CMP DWORD PTR SS:[EBP-C],4&&& JNZ SHORT regedit.0100763A&&& CMP DWORD PTR SS:[EBP-4],4
可以看到这段代码是读注册表中的"DisableRegistryTools"项值,如为1则禁用注册表.恢复方法:按上面信息:把0100760C&&& JNZ SHORT regedit.&改为jmp即可永久解除禁用注册表,也可以在进入注册表后,在"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System"把DisableRegistryTools的值改为0即可。或写注册表文件Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]"DisableRegistryTools"=dword:
解除注册表限制后,还有一个它禁止设置默认网页,用WindowEnable下断来到这里
023CFDE7&&&&& 33F6&&&&&&&&&&&& XOR ESI,ESI023CFDE9&&&&& 56&&&&&&&&&&&&&& PUSH ESI023CFDEA&&&&& 6A 03&&&&&&&&&&& PUSH 3023CFDEC&&&&& 68 C5000000&&&&& PUSH 0C5023CFDF1&&&&& 68 D4050000&&&&& PUSH 5D4023CFDF6&&&&& 53&&&&&&&&&&&&&& PUSH EBX023CFDF7&&&&& FFD7&&&&&&&&&&&& CALL EDI023CFDF9&&&&& 50&&&&&&&&&&&&&& PUSH EAX023CFDFA&&&&& FF15 B0113C02&&& CALL DWORD PTR DS:[&&SHLWAPI.#136&]&&&&& ; SHLWAPI.#136023CFE00&&&&& 66:D02 CMP WORD PTR DS:[23DE148],SI023CFE07&&&&& 74 2A&&&&&&&&&&& JE SHORT inetcpl.023CFE33023CFE09&&&&& 68 &&&&& PUSH 80023CFE0E&&&&& 8D4424 14&&&&&&& LEA EAX,DWORD PTR SS:[ESP+14]023CFE12&&&&& 50&&&&&&&&&&&&&& PUSH EAX023CFE13&&&&& 68 1B120000&&&&& PUSH 121B023CFE18&&&&& E8 B6070000&&&&& CALL inetcpl.023D05D3023CFE1D&&&&& 8D4424 10&&&&&&& LEA EAX,DWORD PTR SS:[ESP+10]023CFE21&&&&& 50&&&&&&&&&&&&&& PUSH EAX023CFE22&&&&& 56&&&&&&&&&&&&&& PUSH ESI023CFE23&&&&& 6A 0C&&&&&&&&&&& PUSH 0C023CFE25&&&&& 53&&&&&&&&&&&&&& PUSH EBX023CFE26&&&&& FF15 CC133C02&&& CALL DWORD PTR DS:[&&USER32.GetParent&]& ; USER32.GetParent023CFE2C&&&&& 50&&&&&&&&&&&&&& PUSH EAX023CFE2D&&&&& FF15 B0113C02&&& CALL DWORD PTR DS:[&&SHLWAPI.#136&]&&&&& ; SHLWAPI.#136023CFE33&&&&& 3935 ECE03D02&&& CMP DWORD PTR DS:[23DE0EC],ESI023CFE39&&&&& 74 30&&&&&&&&&&& JE SHORT inetcpl.023CFE6B023CFE3B&&&&& 56&&&&&&&&&&&&&& PUSH ESI023CFE3C&&&&& 68 CF050000&&&&& PUSH 5CF023CFE41&&&&& 53&&&&&&&&&&&&&& PUSH EBX023CFE42&&&&& FFD7&&&&&&&&&&&& CALL EDI023CFE44&&&&& 50&&&&&&&&&&&&&& PUSH EAX023CFE45&&&&& FFD5&&&&&&&&&&&& CALL EBP&&=&enablewindow023&&&&&&&&&&& PUSH ESI023CFE48&&&&& 68 CD050000&&&&& PUSH 5CD023CFE4D&&&&& 53&&&&&&&&&&&&&& PUSH EBX023CFE4E&&&&& FFD7&&&&&&&&&&&& CALL EDI023CFE50&&&&& 50&&&&&&&&&&&&&& PUSH EAX023CFE51&&&&& FFD5&&&&&&&&&&&& CALL EBP023CFE53&&&&& 56&&&&&&&&&&&&&& PUSH ESI023CFE54&&&&& 68 &&&&& PUSH 194023CFE59&&&&& 53&&&&&&&&&&&&&& PUSH EBX023CFE5A&&&&& FFD7&&&&&&&&&&&& CALL EDI023CFE5C&&&&& 50&&&&&&&&&&&&&& PUSH EAX023CFE5D&&&&& FFD5&&&&&&&&&&&& CALL EBP023CFE5F&&&&& 56&&&&&&&&&&&&&& PUSH ESI023CFE60&&&&& 68 CE050000&&&&& PUSH 5CE023CFE65&&&&& 53&&&&&&&&&&&&&& PUSH EBX023CFE66&&&&& FFD7&&&&&&&&&&&& CALL EDI023CFE68&&&&& 50&&&&&&&&&&&&&& PUSH EAX023CFE69&&&&& FFD5&&&&&&&&&&&& CALL EBP023CFE6B&&&&& D02&&& CMP DWORD PTR DS:[23DE138],ESI023CFE71&&&&& 74 24&&&&&&&&&&& JE SHORT inetcpl.023CFE97023CFE73&&&&& 56&&&&&&&&&&&&&& PUSH ESI023CFE74&&&&& 68 &&&&& PUSH 273023CFE79&&&&& 53&&&&&&&&&&&&&& PUSH EBX023CFE7A&&&&& FFD7&&&&&&&&&&&& CALL EDI023CFE7C&&&&& 50&&&&&&&&&&&&&& PUSH EAX023CFE7D&&&&& FFD5&&&&&&&&&&&& CALL EBP023CFE7F&&&&& 56&&&&&&&&&&&&&& PUSH ESI023CFE80&&&&& 68 &&&&& PUSH 270023CFE85&&&&& 53&&&&&&&&&&&&&& PUSH EBX023CFE86&&&&& FFD7&&&&&&&&&&&& CALL EDI023CFE88&&&&& 50&&&&&&&&&&&&&& PUSH EAX023CFE89&&&&& FFD5&&&&&&&&&&&& CALL EBP023CFE8B&&&&& 56&&&&&&&&&&&&&& PUSH ESI023CFE8C&&&&& 68 D2050000&&&&& PUSH 5D2023CFE91&&&&& 53&&&&&&&&&&&&&& PUSH EBX023CFE92&&&&& FFD7&&&&&&&&&&&& CALL EDI023CFE94&&&&& 50&&&&&&&&&&&&&& PUSH EAX023CFE95&&&&& FFD5&&&&&&&&&&&& CALL EBP023CFE97&&&&& D02&&& CMP DWORD PTR DS:[23DE0F0],ESI023CFE9D&&&&& 74 24&&&&&&&&&&& JE SHORT inetcpl.023CFEC3023CFE9F&&&&& 56&&&&&&&&&&&&&& PUSH ESI023CFEA0&&&&& 68 D4050000&&&&& PUSH 5D4023CFEA5&&&&& 53&&&&&&&&&&&&&& PUSH EBX023CFEA6&&&&& FFD7&&&&&&&&&&&& CALL EDI023CFEA8&&&&& 50&&&&&&&&&&&&&& PUSH EAX023CFEA9&&&&& FFD5&&&&&&&&&&&& CALL EBP023CFEAB&&&&& 56&&&&&&&&&&&&&& PUSH ESI023CFEAC&&&&& 68 D5050000&&&&& PUSH 5D5023CFEB1&&&&& 53&&&&&&&&&&&&&& PUSH EBX023CFEB2&&&&& FFD7&&&&&&&&&&&& CALL EDI023CFEB4&&&&& 50&&&&&&&&&&&&&& PUSH EAX023CFEB5&&&&& FFD5&&&&&&&&&&&& CALL EBP023CFEB7&&&&& 56&&&&&&&&&&&&&& PUSH ESI023CFEB8&&&&& 68 D1050000&&&&& PUSH 5D1023CFEBD&&&&& 53&&&&&&&&&&&&&& PUSH EBX023CFEBE&&&&& FFD7&&&&&&&&&&&& CALL EDI023CFEC0&&&&& 50&&&&&&&&&&&&&& PUSH EAX023CFEC1&&&&& FFD5&&&&&&&&&&&& CALL EBP023CFEC3&&&&& 5F&&&&&&&&&&&&&& POP EDI023CFEC4&&&&& 33C0&&&&&&&&&&&& XOR EAX,EAX023CFEC6&&&&& 5D&&&&&&&&&&&&&& POP EBP023CFEC7&&&&& 40&&&&&&&&&&&&&& INC EAX
在比较的地方如:023CFE33&&&&& 3935 ECE03D02&&& CMP DWORD PTR DS:[23DE0EC],ESI023CFE6B&&&&& D02&&& CMP DWORD PTR DS:[23DE138],ESI下硬件断点,如[23DE0EC]
来到这里023D2A3D&&& PUSH DWORD PTR SS:[EBP-4]023D2A40&&& MOV DWORD PTR DS:[ESI+30],EAX023D2A43&&& CALL inetcpl.023D2905023D2A48&&& PUSH inetcpl.023C4204&&&&&&&&&&&&&&&&&&& ; UNICODE "History"023D2A4D&&& PUSH DWORD PTR SS:[EBP-4]023D2A50&&& MOV DWORD PTR DS:[ESI+34],EAX023D2A53&&& CALL inetcpl.023D2905023D2A58&&& PUSH inetcpl.023C4214&&&&&&&&&&&&&&&&&&& ; UNICODE "Messaging"023D2A5D&&& PUSH DWORD PTR SS:[EBP-4]023D2A60&&& MOV DWORD PTR DS:[ESI+38],EAX023D2A63&&& CALL inetcpl.023D2905023D2A68&&& PUSH inetcpl.023C4270&&&&&&&&&&&&&&&&&&& ; UNICODE "Ratings"
向上看023D2950&&& PUSH inetcpl.023C4058&&&&&&&&&&&&&&&&&&& ; UNICODE "Software\Policies\Microsoft\Internet Explorer\Control Panel"023D2955&&& PUSH 023D295A&&& CALL DWORD PTR DS:[&&SHLWAPI.#125&]&&&&& ; SHLWAPI.#125023D2960&&& TEST EAX,EAX023D2962&&& JNZ inetcpl.023D2BC1023D2968&&& PUSH ESI进注册表看一下
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]"HomePage"=dword:
只要把"HomePage"=dword:值改为0即可解除设置主页的限制。另外还有标题显示其它信息,进入注册表[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]把main项删掉吧。
到此又把Ie恢复正常了。
欢迎访问NukeGroup论坛,共同探讨加解密技术。
by lordor&
相关文章:相关软件:
┊┊┊┊┊┊┊┊┊┊┊
┊┊┊┊┊┊┊┊┊┊┊
┊┊┊┊┊┊┊┊┊┊┊