有一个程序地址为http://www.newhua.com.cn/down/fldrmrkr.zip,它可给电脑中的众多文件加上说明。先是在白菜的论坛上看到有人要求破解,于是下载下来一试,竟然……,只怪我软柿子捏多了,连手都软了,竟然没有捏动,特请各路高手帮忙。
经过一下午的研究发现问题在Folderem.dll中,关键处在:
00406621 55
push ebp
00406622 8BEC
mov ebp, esp
00406624 8B550C
mov edx, dword ptr [ebp+0C]
00406627 8B4508
mov eax, dword ptr [ebp+08]
0040662A 8B08
mov ecx, dword ptr [eax]
0040662C 3B0A
cmp ecx, dword ptr [edx]
0040662E 7522
jne 00406652
00406630 8B4804
mov ecx, dword ptr [eax+04]
00406633 3B4A04
cmp ecx, dword ptr [edx+04]
00406636 751A
jne 00406652
00406638 8B4808
mov ecx, dword ptr [eax+08]
0040663B 3B4A08
cmp ecx, dword ptr [edx+08]
0040663E 7512
jne 00406652
00406640 8B480C
mov ecx, dword ptr [eax+0C]
00406643 3B4A0C
cmp ecx, dword ptr [edx+0C]
00406646 750A
jne 00406652
00406648 8B4010
mov eax, dword ptr [eax+10]
0040664B 8B5210
mov edx, dword ptr [edx+10]
0040664E 3BC2
cmp eax, edx
00406650 7404
je 00406656
00406652 33C0
xor eax, eax
00406654 EB05
jmp 0040665B <-注意
00406656 B801000000 mov eax,
00000001
0040665B 5D
pop ebp
0040665C C3
ret
上面的一些全是比较,如全对最后EAX就为1,暴破的话只要将EB05改为EB00就可以了,它是用ASPACK2.1加壳的,是用UNASPACK1.0.9.1能脱,能反汇编,就是不能用。SMC我也不会。注册算法与注册名无关,是用注册码进行计算后与一常数串比较,正算法是看懂了,但逆算法却找不到。只怪我学艺不精,恳请各路高手帮忙。
另:上面的地址是反汇编来的,每次重启动WIN后66XX是不变的,但前面的会变,如7D66XX。还有它是在WIN启动时加载的。不知如何脱光它!
- 标 题:对脱壳感兴趣者请进 (1千字)
- 作 者:hying
- 时 间:2001-1-19 21:44:40
- 链 接:http://bbs.pediy.com