点击运行
随便进行输入:
F12暂停,按k进入堆栈
右键最后一行,显示调用。
我们从这里往上找,看看是如何call出来的。
可以看到这里有一个jnz判断,如果跳转,就会执行到 push 0x0,接下来会把注册失败的提示信息的ascll码写入寄存器。然后再call Acid_bur.0042A170 弹框。
而如果不跳转,就会
0042FB07 |. B9 CCFB4200 mov ecx,Acid_bur.0042FBCC
0042FB0C |. BA D8FB4200 mov edx,Acid_bur.0042FBD8
将这两个地方数据写入寄存器。
然后再call Acid_bur.0042A170弹框显示注册成功。
因此,破解的方法是可以将jnz 这行nop掉。也可以修改这一行的逻辑。
在jnz上边的call处F2下断点,执行。
发现EDX中储存的是第二个输入框的内容。
进行修改尝试,成功注册。
研究验证原理:
这里有一个cmp eax,0x4,通过比较eax中的值与4的大小,如果jge(大于等于)就跳转到0042FA79,否则就call Acid_bur.0042A170 弹框报错提示serial错误。
经过0042FA87 |. 8B45 F0 mov eax,[local.4]这一步,发现将输入的3456789存入了eax。
0042FA8A |. 0FB600 movzx eax,byte ptr ds:[eax] 将第一个字节(即“3”)保存到eax。
经过了0042FA8D |. F72D 50174300 imul dword ptr ds:[0x431750]以后,eax与一个数相乘,结果如下:
由此可以计算出[0x431750]中的数为0x29。
0042FA93 |. A3 50174300 mov dword ptr ds:[0x431750],eax 将计算结果放到[0x431750]中。
0042FA98 |. A1 50174300 mov eax,dword ptr ds:[0x431750] 再放回来????
0042FA9D |. 0105 50174300 add dword ptr ds:[0x431750],eax 相加,也就相当于乘2
0042FAA6 |. BA ACFB4200 mov edx,Acid_bur.0042FBAC 将"CW"放进来
0042FAB3 |. BA B8FB4200 mov edx,Acid_bur.0042FBB8 将“CRACKED”放进来
0042FAC5 |. 8D55 E8 lea edx,[local.6]结果:
执行完0042FACD |. E8 466CFDFF call Acid_bur.00406718 之后,0019F680中的值发生了变化,变成了4182
至此我们看到这5个push,push进去的数据为 “CW-4182-CRACKED”
其中 0042FACD |. E8 466CFDFF call Acid_bur.00406718 这条命令是将82b + 82b 即1056 转化成十进制的数字,为4182
最后得到注册码: