【软件名称】:超级广告杀手4.0
【下载页面】:共享软件注册中心
【软件大小】:449k
【应用平台】:WIN9X/WINNT/WIN2K/WINXP
【软件简介】: 超级广告杀手的主要特点:
1. 智能化程度高
它甚至可以关闭那些当你离开某个站点的时候产生的广告窗口,超级广告杀手只会关闭弹出式的 广告窗口,不会影响你打开正常的浏览窗口。
2. 及时通知
当超级广告杀手拦截了一个广告窗口的时候,会通过闪动系统条上的图标和发出声音来通知你。
3.灵活的设置
你可以设置某个特定站点允许通过弹出式窗口出现,你也可以设置热键来暂时性的禁用超级广告杀手。
4. 十分容易使用
安装之后你可以不做任何设置就可以使用,程序而且会跟随IE浏览器自动启动。
5. 占用系统资源
占用极少的系统资源,丝毫不会影响你的系统性能。
6. 隐私保护
可以帮助你清除敏感的上网纪录和浏览器缓冲区文件以提高系统速度。
【软件限制】:不记得了,好像是30天的试用期!呵呵...
【作者声明】:本人发表这篇文章只是为了学习!!!请不用于商业用途或是将本文方法制作的注册机任意传播,读者看了文章后所做的事情与我无关,我也不会负责,请读者看了文章后三思而后行!最后希望大家在经济基础好的时候,支持共享软件!
【破解工具】:TRW2K W32Dasm peid
—————————————————————————————————
【过
程】:
用peid侦察出主程序popkill.exe没有加壳!(善良的作者!)
用W32Dasm反汇编popkill.exe
根据参考字串找到关键!
运行主程序popkill.exe-->选择注册-->填入假注册码48484848
启动TRW2K-->下断点bpx 412adf-->f5返回-->按"注册"-->拦下!!!
* Reference To: MFC42.Ordinal:18BE, Ord:18BEh
|
:00412ADF E800280000
Call 004152E4
\\这里是取得机器码和假注册码的16进制
:00412AE4 8B96DC020000 mov edx,
dword ptr [esi+000002DC]
\\这里是假注册码的16进制值!
:00412AEA 8B8ED8020000 mov ecx,
dword ptr [esi+000002D8]
\\这里是真注册码的16进制值!
:00412AF0 BB88AA9919 mov ebx,
1999AA88
\\这里应该就是密匙!!!
:00412AF5 33D3
xor edx, ebx
\\假注册码16进制和1999AA88或运算!
:00412AF7 8BC2
mov eax, edx
\\EDX=EAX
:00412AF9 8996DC020000
mov dword ptr [esi+000002DC], edx
:00412AFF 3BC1
cmp eax, ecx
\\比较
:00412B01 0F85B2000000 jne
00412BB9
\\跳到出错的地方!
:00412B07 8D44240C
lea eax, dword ptr [esp+0C]
:00412B0B C744240C00000000
mov [esp+0C], 00000000
:00412B13 50
push
eax
:00412B14 683F000F00 push
000F003F
:00412B19 6A00
push 00000000
* Possible StringData Ref from Data Obj ->"SOFTWARE\Saga\Super Popup
Blocker"
|
:00412B1B 6890F24100
push 0041F290
:00412B20
6802000080 push 80000002
* Reference To: ADVAPI32.RegOpenKeyExA, Ord:01E2h
|
:00412B25 FF1560804100
Call dword ptr [00418060]
\\检查是否有键值[SOFTWARE\Saga\Super Popup Blocker]
:00412B2B 85C0
test eax, eax
:00412B2D 757F
jne 00412BAE
:00412B2F 8B86DC020000
mov eax, dword ptr [esi+000002DC]
:00412B35
8B7C240C mov edi, dword
ptr [esp+0C]
:00412B39 8D4C240C
lea ecx, dword ptr [esp+0C]
:00412B3D 6A04
push 00000004
:00412B3F 51
push
ecx
:00412B40 6A04
push 00000004
:00412B42 6A00
push 00000000
:00412B44 33C3
xor eax, ebx
* Possible StringData Ref from Data Obj ->"ZhuceNo"
|
:00412B46 6860F44100
push 0041F460
:00412B4B 57
push edi
:00412B4C 897C2428
mov dword ptr [esp+28],
edi
:00412B50 8986DC020000 mov dword
ptr [esi+000002DC], eax
:00412B56 89442424
mov dword ptr [esp+24], eax
* Reference To: ADVAPI32.RegSetvalueExA, Ord:01F9h
|
:00412B5A FF155C804100
Call dword ptr [0041805C]
* Reference To: ADVAPI32.RegCloseKey, Ord:01C9h
|
:00412B60 8B1D68804100
mov ebx, dword ptr [00418068]
:00412B66 85FF
test edi,
edi
:00412B68 7409
je 00412B73
:00412B6A 57
push edi
:00412B6B FFD3
call
ebx
:00412B6D 33FF
xor edi, edi
:00412B6F 897C2410
mov dword ptr [esp+10], edi
* Referenced by a (U)nconditional or (C)onditional Jump at
Address:
|:00412B68(C)
|
:00412B73 6A00
push 00000000
:00412B75 8D8EA0000000
lea ecx, dword ptr [esi+000000A0]
* Reference To: MFC42.Ordinal:0A52, Ord:0A52h
|
:00412B7B E846270000
Call 004152C6
:00412B80 6A00
push 00000000
:00412B82 6A00
push 00000000
* Possible StringData Ref from Data Obj ->"恭喜!注册成功"
\\HOHO
|
:00412B84 6870FE4100
push 0041FE70
------------------------------------------------------------------
【总
结】:
注册信息保存在注册表的
[HKEY_LOCAL_MACHINE\SOFTWARE\Saga\Super Popup
Blocker]的ZhuceNo里.
保存格式是16进制!
算法:
假设真注册码的16进制值为X,机器码的16进制值为Y
Y=X XOR 1999AA88
这个程序的作者是我遇见的第一个非常善良的人咯...呵呵!
哪位大哥哥有时间帮忙写个注册机吧,千分感激!
最后在这里真心感谢你花了那么多时间看这篇文章!谢谢了...
2003.05.24凌晨于清远