UltraISO软碟通是一款光盘映像ISO文件编辑制作工具,它可以图形化地从光盘、硬盘制作和编辑ISO文件。UltraISO可以做到:1.从CD-ROM制作光盘的映像文件。2.将硬盘、光盘、网络磁盘文件制作成ISO文件。3.从ISO文件中提取文件或文件夹。4.编辑各种ISO文件(如Nero Burning ROM、Easy CD Creator、Clone CD 制作的光盘映像文件)。5.制作可启动ISO文件。+)新ISO文件处理内核,更稳定、高效+)超强还原功能,可以准确还原被编辑文件,确保ISO文件不被损坏+)可制作1.2M/1.44M/2.88M软盘仿真启动光盘+)完整的帮助文件(CHM格式) +)实现重新打开文件列表功能+)支持Windows 2000下制作光盘映像文件*)修正刻盘后有时出现目录不能打开错误。 用PEID查壳:ASPack 2.12 -> Alexey Solodovnikov,很简单的一个壳,我就不多说了! 安装之后载入OD
00C0E001 > 60 pushad 00C0E002 E8 03000000 call UltraISO.00C0E00A 00C0E007 - E9 EB045D45 jmp 461DE4F7 00C0E00C 55 push ebp 00C0E00D C3 retn 00C0E00E E8 01000000 call UltraISO.00C0E014 00C0E013 EB 5D jmp short UltraISO.00C0E072
脱壳之后
00401620 > $ /EB 10 jmp short dumped.00401632 00401622 . |66:623A bound di,dword ptr ds:[edx] 00401625 . |43 inc ebx 00401626 . |2B2B sub ebp,dword ptr ds:[ebx] 00401628 . |48 dec eax 00401629 . |4F dec edi 0040162A . |4F dec edi 0040162B . |4B dec ebx 0040162C . |90 nop 0040162D .-|E9 98006400 jmp dumped.00A416CA 00401632 > A1 8B006400 mov eax,dword ptr ds:[64008B] 00401637 . C1E0 02 shl eax,2 0040163A . A3 8F006400 mov dword ptr ds:[64008F],eax 0040163F . 52 push edx 00401640 . 6A 00 push 0 ; /pModule = NULL 00401642 . E8 5BD02300 call <jmp.&kernel32.GetModuleHandleA> ; GetModuleHandleA
输入用户名和注册码,并且注册码要是16! 附件62386 点击确定,注册码已经录入,请重新运行程序,不用多说,软件是重启验证的! 既然是重启验证,那么它根本会打软件保存在电脑里面,要么是文件,要么是注册表!这款软件保存在注册表里面!用这个款(Regshot_2.0.1.66)软件监控一个注册表,看它都做了些什么 附件62387
附件62388
就是我们的用户名,存放的注册码,看起来很像MD5
打开系统注册表,运行中输入“regedit"查找“1234567890123456”是查找不到,因为我们输入的假码通过一系列运算已经成"f5ace2b8a891ffd9fcaee0beae93fdd6"UserName里面是用户名,Registration是注册码,在这里UserName是关键,下面我们要用到。
BC++和DELPHI都可以用,那咱们就用DEDE载入脱壳后的文件!点过程,里面有一个TfrmRegister,点击它,出现如图所示 附件62427 00481EC0 这个地址就是我要查找的按钮事件
既然是注册表重启验证的,那我们就下bp RegQueryValueExA断点F9几次之后 |