软件名称: RegEditor V1.2
软件分类: DOWNME首页=>软件下载=>系统工具=>注册表管理
软件设计: A. Chabanenko.
软件主页: http://www.utils32.com/products.htm
联系邮件: nit@aip.mk.ua
授权方式: 共享软件
更新时间: 2001-04-05
操作系统: Windows 95/98/NT/2000
试用限制: 30天
购买金额: $20.00
软件大小: 451KB
星级评定: ★★★★★
图片预览: 点击这里查看软件图片
软件简介: RegEditor 是一个注册表编辑工具,它可以用于 Registry 4 (REGEDIT4)的文件格式对 Windows
95/98 的注册表进行修改。RegEditor 还支持多语种的系统。
http://www.downme.com/download/3864regeditr.zip
------------------------------------------------------------------------------------
这些过程是总结小弟这几年来的Cracker经验之谈!也是最完整一篇了!
破解密码篇:
谁说明破解没有直径?不过不叫直径而叫经验罢了?
只要你多看一些别人的经验有“拿来主义”总结分析
得到变成自己的新经验就是直径了:
以下就是证明:
旧方法:
F12---->17次
F8----->15次
结果:32次
常用法:
pmodule
F10----->72次
结果:72次
个人法:
pmodule
F12---->10次
F10---->8次
结果:18次
就能来到这个错误call!
0167:0047A64F CALL 00454F50
0167:0047A654 TEST AL,AL
0167:0047A656 JZ 0047A681
0167:0047A658 MOV EAX,[EBP-04]
0167:0047A65B CALL 004701DC//------->关键call!
0167:0047A660 TEST AL,AL
0167:0047A662 JZ 0047A677
0167:0047A664 MOV EAX,0047A6EC
0167:0047A669 CALL 00454F2C
0167:0047A66E MOV EAX,EBX
0167:0047A670 CALL 0044AF84
0167:0047A675 JMP SHORT 0047A681
0167:0047A677 MOV EAX,0047A710
0167:0047A67C CALL 00454F2C//--------->出来错误提示!
看到没有我个人方法多么的快?我一向破解也是采用这样的方法,
只要pmodule能用,把旧方法和常用法方法结合就是一种新方法也是新一种经验?
为什么还要用F12了,小弟没有什么编程的技术只是在学校学过Foxbase2.5!
ret是主要流程,也是主要的得的干骨!什么还不明白?
就用一颗树干,你从这里开始找就能快速的找到枝叶(分支流程)!
哪如何找到树干了?你把要用F12了记一下出现第一次提示的次数
-1再用F10就找到枝叶!小弟用此方法不到一分钟就把注册码破解出来!
----------------------------------------------------------------------
:004701DC 55
push ebp//------------->1
----------------------------------------------------------------------
EAX=00C0A168=78787878
----------------------------------------------------------------------
:00403ED8 53
push ebx
:00403ED9 56
push esi
:00403EDA 57
push edi
:00403EDB 89C6
mov esi, eax
:00403EDD 89D7
mov edi, edx
:00403EDF 39D0
cmp eax, edx//-------->2
----------------------------------------------------------------------
SN=EAX=61C8-064B-FE37
EDI=EDX=00C0A168=78787878
----------------------------------------------------------------------
:00403EE1 0F848F000000 je 00403F76
:00403EE7 85F6
test esi, esi
:00403EE9 7468
je 00403F53
:00403EEB 85FF
test edi, edi
:00403EED 746B
je 00403F5A
:00403EEF 8B46FC
mov eax, dword ptr [esi-04]
:00403EF2 8B57FC
mov edx, dword ptr [edi-04]
:00403EF5 29D0
sub eax, edx
:00403EF7 7702
ja 00403EFB
:00403EF9 01C2
add edx, eax
:004701DD 8BEC
mov ebp, esp
:004701DF 83C4EC
add esp, FFFFFFEC
:004701E2 33D2
xor edx, edx
:004701E4 8955F0
mov dword ptr [ebp-10], edx
:004701E7 8955EC
mov dword ptr [ebp-14], edx
:004701EA 8945FC
mov dword ptr [ebp-04], eax
:004701ED 8B45FC
mov eax, dword ptr [ebp-04]
:004701F0 E8873DF9FF call
00403F7C
----------------------------------------------------------------------
:0047020E 8D55F0
lea edx, dword ptr [ebp-10]//----->3
ID=EAX=00CF4F8=6600-0183-F9FF
ss:[6DF364]=00C0F5B4=SN=61C8-064B-FE37
----------------------------------------------------------------------
:0047020E 8D55F0
lea edx, dword ptr [ebp-10]
:00470211 E8D2FBFFFF call
0046FDE8
:00470216 8B45F0
mov eax, dword ptr [ebp-10]//------>4
----------------------------------------------------------------------
ID=EDX=00CF4F8=6600-0183-F9FF
ss:[6DF364]=00C0F5B4=SN=61C8-064B-FE37
----------------------------------------------------------------------
:00470219 8B55FC
mov edx, dword ptr [ebp-04]//------>5
----------------------------------------------------------------------
SN=EAX=61C8-064B-FE37
ss:[6DF370]=00C0A168=78787878
----------------------------------------------------------------------
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004701A4(C)
|
:0047021C E8B73CF9FF call
00403ED8//----------->6
--------------------------------------------------------------------
EDX=00C0A168=78787878
EAX=00C0F5B4=SN=61C8-064B-FE37
---------------------------------------------------------------------
:00470221 0F9445FB
sete byte ptr [ebp-05]
:00470225 807DFB00
cmp byte ptr [ebp-05], 00
:00470229 7469
je 00470294
:0047022B B201
mov dl, 01
:0047022D A1C0EE4600 mov
eax, dword ptr [0046EEC0]
:00470232 E889EDFFFF call
0046EFC0
:00470237 8945F4
mov dword ptr [ebp-0C], eax
:0047023A 33C0
xor eax, eax
:0047023C 55
push ebp
:0047023D 688D024700 push
0047028D
:00470242 64FF30
push dword ptr fs:[eax]
:00470245 648920
mov dword ptr fs:[eax], esp
:00470248 BA02000080 mov
edx, 80000002
:0047024D 8B45F4
mov eax, dword ptr [ebp-0C]
:00470250 E80BEEFFFF call
0046F060
:00470255 33C9
xor ecx, ecx
:00470257 BAD0024700 mov
edx, 004702D0
:0047025C 8B45F4
mov eax, dword ptr [ebp-0C]
:0047025F E864EEFFFF call
0046F0C8
:00470264 84C0
test al, al
:00470266 740F
je 00470277
:00470268 B920034700 mov
ecx, 00470320
:0047026D 33D2
xor edx, edx
:0047026F 8B45F4
mov eax, dword ptr [ebp-0C]
:00470272 E845F4FFFF call
0046F6BC
:00470211 E8D2FBFFFF call
0046FDE8
:00470216 8B45F0
mov eax, dword ptr [ebp-10]
:00470219 8B55FC
mov edx, dword ptr [ebp-04]
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004701A4(C)
|
:0047021C E8B73CF9FF call
00403ED8
:00470221 0F9445FB
sete byte ptr [ebp-05]
:00470225 807DFB00
cmp byte ptr [ebp-05], 00
:00470229 7469
je 00470294
:0047022B B201
mov dl, 01
:0047022D A1C0EE4600 mov
eax, dword ptr [0046EEC0]
:00470232 E889EDFFFF call
0046EFC0
:00470237 8945F4
mov dword ptr [ebp-0C], eax
:0047023A 33C0
xor eax, eax
:0047023C 55
push ebp
:0047023D 688D024700 push
0047028D
:00470242 64FF30
push dword ptr fs:[eax]
:00470245 648920
mov dword ptr fs:[eax], esp
:00470248 BA02000080 mov
edx, 80000002
:0047024D 8B45F4
mov eax, dword ptr [ebp-0C]
:00470250 E80BEEFFFF call
0046F060
:00470255 33C9
xor ecx, ecx
:00470257 BAD0024700 mov
edx, 004702D0
:0047025C 8B45F4
mov eax, dword ptr [ebp-0C]
:0047025F E864EEFFFF call
0046F0C8
:00470264 84C0
test al, al
:00470266 740F
je 00470277
:00470268 B920034700 mov
ecx, 00470320
:0047026D 33D2
xor edx, edx
:0047026F 8B45F4
mov eax, dword ptr [ebp-0C]
:00470272 E845F4FFFF call
0046F6BC
----------------------------------------------------------------------
crackcode2000注册机篇:
第一种:
[Options]
CommandLine=regeditor.exe
Mode=2
First_Break_Address=403EDF
First_Break_Address_Code=39
First_Break_Address_Code_Lenth=2
Save_Code_Address=edx
第二种:
[Options]
CommandLine=regeditor.exe
Mode=0
First_Break_Address=470219
First_Break_Address_Code=8B
First_Break_Address_Code_Lenth=2
Save_Code_Address=EAX
第三种:
[Options]
CommandLine=regeditor.exe
Mode=3
First_Break_Address=403EDF
First_Break_Address_Code=39
First_Break_Address_Code_Lenth=2
Save_Code_Address=edx
(以上It's very cool!Why?注册码错误也成功注册!不信你重启就成的注册版
不过就是用它注册所以文字都失踪不过也能注册!)
相信连我师傅也可能不知道有这么利害的功能?!哈。。。哈!
HKEY_LOCAL_MACHINE\
Software\CLASSES\
CLSID\
{A4E78360-03CA-11D4-9395-981897B1F059}\
Version\[(默认)FFFF]---->删除这个值又变回未注册版!
^^^^^
注册表暴力把它的变成FFFF就是注册版!
----------------------------------------------------------------------
暴力破解窗口篇:
0167:0047AA98 E87F54FFFF CALL 0046FF1C
0167:0047AA9D 84C0 TEST
AL,AL
0167:0047AA9F 7553 JNZ
0047AAF4//----jz
0167:0047AAA1 8B0D04C24700 MOV ECX,[0047C204]
0167:0047AAA7 8B09 MOV
ECX,[ECX]
0167:0047AAA9 B201 MOV
DL,01
0167:0047AAAB A1BCA34700 MOV EAX,[0047A3BC]
0167:0047AAB0 E8EFC6FCFF CALL 004471A4
0167:0047AAB5 A358D94700 MOV [0047D958],EAX
0167:0047AABA 33C0 XOR
EAX,EAX
0167:0047AABC 55 PUSH
EBP
0167:0047AABD 68EDAA4700 PUSH DWORD 0047AAED
0167:0047AAC2 64FF30 PUSH
DWORD [FS:EAX]
0167:0047AAC5 648920 MOV
[FS:EAX],ESP
0167:0047AAC8 A158D94700 MOV EAX,[0047D958]
0167:0047AACD 8B10 MOV
EDX,[EAX]
0167:0047AACF FF92D8000000 CALL NEAR [EDX+D8]//---->注册提示窗!
0167:0047AAD5 33C0 XOR
EAX,EAX
但仍然在退出时出现没有未注册提示,这个提示非常难破解!
-----------------------------------------------------------------------
自动脱壳篇:
工具:fi(三个版) and fs [测壳工具],Procdump32162(脱壳工具)
-----------------------------------------------------------------------
测试结果:
UPX v0.94 (■PE) ObHu/Molnar UPX\
UPX v0.93 (■PE) Bl.Panther UPX fi
UPX v0.94 (■PE) ObHu/Molnar UPX/
pe/exe.packer UPX 0.82-1.01 (type 2)-----unpacker (fs)
用"pr"选upx一会就脱壳成功!
-----------------------------------------------------------------------
手动脱壳篇:
参考:
----------------------------------------------------------------------
chm帮助编辑器v2.6 注册码破解详谈之一*脱壳篇*
其实没这个必要,是应peterchen要求所写!
就先说说软件的脱壳吧!它用upx加壳.
第一种脱壳方法:trw+冲击波0.2
启动冲击波,点击Trace,然后运行要脱壳的软件,此时冲击波会显示一个数值(这里应该是00488C78),这
就是程序的入口.
trw载入文件,Ctrl+N,
g 00488C78
MakePe 或 pedump
脱壳成功!
第二种脱壳方法:只用trw.
用trw载入程序,选择加载,这时TRW弹出,按一次F10,程序来到这里:
:004BA000 60
pushad
:004BA001 E800000000 call
004BA006
一直按F10运行到上面这一行,注意这个call一定要进去,因为你再按一次F10的话,程序就运行了!
于是按F8进入:
* Referenced by a CALL at Address:
|:004BA001
|
:004BA006 83CDFF
or ebp, FFFFFFFF
:004BA009 31DB
xor ebx, ebx
:004BA00B 5E
pop esi
:004BA00C 8DBEFA6FF4FF lea edi,
dword ptr [esi+FFF46FFA]
:004BA012 57
push edi
:004BA013 668187F4830B000100 add word ptr [edi+000B83F4],
0001
:004BA01C 81C6B3010000 add esi,
000001B3
:004BA022 EB0A
jmp 004BA02E
到了这里,再继续按F10跳转到 004BA02E,继续跟踪
:004BA02E 01DB
add ebx, ebx
:004BA030 7507
jne 004BA039
:004BA032 8B1E
mov ebx, dword ptr [esi]
:004BA034 83EEFC
sub esi, FFFFFFFC
:004BA037 11DB
adc ebx, ebx
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004BA030(C)
|
:004BA039 72ED
jb 004BA028
:004BA03B B801000000 mov
eax, 00000001
在004BA039这一行程序将*向上*跳到004BA028,进行循环解压,而我们没有必要跟着它走,所以将光标
定位于004BA03B,按F7,这样就省去了许多步骤了,接着软件还会有很多类似于这里的地方,都可以用这
种方法跳过去.若是程序向下跳跃的时候,就不要多此一举了,让它跳就是了,还要注意的是按F7前,最好
先在跳转的地方设个断点,再bd掉,这样即使判断错误,也还有的救,be就可以了继续跟踪了.继续向下走:
* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:004BA04F(C), :004BA05A(C)
|
:004BA040 01DB
add ebx, ebx
:004BA042 7507
jne 004BA04B \\这里会*向下*跳转,让它跳就是了.
:004BA044 8B1E
mov ebx, dword ptr [esi]
:004BA046 83EEFC
sub esi, FFFFFFFC
:004BA049 11DB
adc ebx, ebx
这两种情况已经明白了吧!那我就省去一些了.
来到这里
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004BA177(C)
|
:004BA18A 240F
and al, 0F
:004BA18C C1E010
shl eax, 10
:004BA18F 668B07
mov ax, word ptr [edi]
:004BA192 83C702
add edi, 00000002
:004BA195 EBE2
jmp 004BA179
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004BA173(C)
|
:004BA197 61
popad 运行到这里以后看看下面这个跳转
:004BA198 E9DBEAFCFF jmp
00488C78 //这里程序便完成来内存中的解工作,
将要跳到程序入口点00488C78
然后就来到了这里:
00488C78 PUSH EBP //在这里下MAKEPE命令(但我的TRW经常出错,Why)或是Pedump
00488C79 MOV EBP,ESP 但若你用了Pedump那脱壳后的文件将不能在其它操作系统和
其它机器上运行!
--------------------------------------------------------------------------
工具:trw2000,Bw2k02(冲击波)
惜助工具脱壳:
1.把"bw" copy 到你要脱壳的软件目录中
2.先启动它
3.再启动要脱壳的软件
使用法:
Track: 开始进行跟踪,然后运行要跟踪的程序.
找到入口点后,会在Enter point 显示.
Stop : 停止跟踪
Exit : 退出
我的epo是0047AA50
用trw2000,ctrl+n
g 47aa50
PEDUMP
为什么不用MAKEPE?我也与TAE!一样!
----------------------------------------------------------------------
0167:004A87FB ADD EBX,BYTE +04--------->F9
0167:004A87FE JMP SHORT 004A87E1//----->注意这里是环循?
0167:004A8800 CALL NEAR [ESI+000A96DC]--->来到这里就显示注册窗!
0167:004A8806 ADD EDI,BYTE +04-------->光标放在这里按F7!
为什么要这样做了?由于来到环循点不可能让跳回去要向下走才行,为了怕
判定之误所以要中断不然又要再来!这里就什么搞鬼?可逼非回去不可也就
是不给你脱壳!所以只要发现你跳下一行就让注册窗提早出来!这也是
程序流程的定律!不过你只要一下跳多一行就行了!
------------------------------------------------------------------------
0167:004A8832 ADD EDI,BYTE +02
0167:004A8835 JMP SHORT 004A8819
0167:004A8837 POPA//----------->非常明显的标志!
0167:004A8838 JMP 0047AA50
-----------------------------------------------------------------------
0167:0047AA50 PUSH EBP//----------->真正的入口点!不过要注意不要把光标
0167:0047AA51 MOV EBP,ESP
不然这个入口点变样!不是如此还有
0167:0047AA53 ADD ESP,BYTE -0C
汇编我不知道你有没有看台湾火大客
0167:0047AA56 MOV EAX,0047A7F8
加、脱壳教程,也许是加了壳所以有
0167:0047AA5B CALL 004065E0
这样的变化!
0167:0047AA60 MOV EAX,[0047C204]
0167:0047AA65 MOV EAX,[EAX]
0167:0047AA67 CALL 0044E138
0167:0047AA6C MOV EAX,[0047C204]
0167:0047AA71 MOV EAX,[EAX]
0167:0047AA73 ADD EAX,BYTE +40
0167:0047AA76 MOV EDX,0047AB10
0167:0047AA7B CALL 00403B9C
0167:0047AA80 MOV ECX,[0047C058]
0167:0047AA86 MOV EAX,[0047C204]
0167:0047AA8B MOV EAX,[EAX]
0167:0047AA8D MOV EDX,[00477330]
0167:0047AA93 CALL 0044E150
0167:0047AA98 CALL 0046FF1C
0167:0047AA9D 84C0 TEST
AL,AL
0167:0047AA9F 7553 JNZ
0047AAF4//----jz
0167:0047AAA1 8B0D04C24700 MOV ECX,[0047C204]
0167:0047AAA7 8B09 MOV
ECX,[ECX]
0167:0047AAA9 B201 MOV
DL,01
0167:0047AAAB A1BCA34700 MOV EAX,[0047A3BC]
0167:0047AAB0 E8EFC6FCFF CALL 004471A4
0167:0047AAB5 A358D94700 MOV [0047D958],EAX
0167:0047AABA 33C0 XOR
EAX,EAX
0167:0047AABC 55 PUSH
EBP
0167:0047AABD 68EDAA4700 PUSH DWORD 0047AAED
0167:0047AAC2 64FF30 PUSH
DWORD [FS:EAX]
0167:0047AAC5 648920 MOV
[FS:EAX],ESP
0167:0047AAC8 A158D94700 MOV EAX,[0047D958]
0167:0047AACD 8B10 MOV
EDX,[EAX]
0167:0047AACF FF92D8000000 CALL NEAR [EDX+D8]//---->注册提示窗!
0167:0047AAD5 33C0 XOR
EAX,EAX
但仍然在退出时出现没有未注册提示,这个提示非常难破解!
-----------------------------------------------------------------------
自动脱壳篇:
工具:fi(三个版) and fs [测壳工具],Procdump32162(脱壳工具)
-----------------------------------------------------------------------
测试结果:
UPX v0.94 (■PE) ObHu/Molnar UPX\
UPX v0.93 (■PE) Bl.Panther UPX fi
UPX v0.94 (■PE) ObHu/Molnar UPX/
pe/exe.packer UPX 0.82-1.01 (type 2)-----unpacker (fs)
用"pr"选upx一会就脱壳成功!
-----------------------------------------------------------------------
手动脱壳篇:
参考:
----------------------------------------------------------------------
chm帮助编辑器v2.6 注册码破解详谈之一*脱壳篇*
其实没这个必要,是应peterchen要求所写!
就先说说软件的脱壳吧!它用upx加壳.
第一种脱壳方法:trw+冲击波0.2
启动冲击波,点击Trace,然后运行要脱壳的软件,此时冲击波会显示一个数值(这里应该是00488C78),这
就是程序的入口.
trw载入文件,Ctrl+N,
g 00488C78
MakePe 或 pedump
脱壳成功!
第二种脱壳方法:只用trw.
用trw载入程序,选择加载,这时TRW弹出,按一次F10,程序来到这里:
:004BA000 60
pushad
:004BA001 E800000000 call
004BA006
一直按F10运行到上面这一行,注意这个call一定要进去,因为你再按一次F10的话,程序就运行了!
于是按F8进入:
* Referenced by a CALL at Address:
|:004BA001
|
:004BA006 83CDFF
or ebp, FFFFFFFF
:004BA009 31DB
xor ebx, ebx
:004BA00B 5E
pop esi
:004BA00C 8DBEFA6FF4FF lea edi,
dword ptr [esi+FFF46FFA]
:004BA012 57
push edi
:004BA013 668187F4830B000100 add word ptr [edi+000B83F4],
0001
:004BA01C 81C6B3010000 add esi,
000001B3
:004BA022 EB0A
jmp 004BA02E
到了这里,再继续按F10跳转到 004BA02E,继续跟踪
:004BA02E 01DB
add ebx, ebx
:004BA030 7507
jne 004BA039
:004BA032 8B1E
mov ebx, dword ptr [esi]
:004BA034 83EEFC
sub esi, FFFFFFFC
:004BA037 11DB
adc ebx, ebx
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004BA030(C)
|
:004BA039 72ED
jb 004BA028
:004BA03B B801000000 mov
eax, 00000001
在004BA039这一行程序将*向上*跳到004BA028,进行循环解压,而我们没有必要跟着它走,所以将光标
定位于004BA03B,按F7,这样就省去了许多步骤了,接着软件还会有很多类似于这里的地方,都可以用这
种方法跳过去.若是程序向下跳跃的时候,就不要多此一举了,让它跳就是了,还要注意的是按F7前,最好
先在跳转的地方设个断点,再bd掉,这样即使判断错误,也还有的救,be就可以了继续跟踪了.继续向下走:
* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:004BA04F(C), :004BA05A(C)
|
:004BA040 01DB
add ebx, ebx
:004BA042 7507
jne 004BA04B \\这里会*向下*跳转,让它跳就是了.
:004BA044 8B1E
mov ebx, dword ptr [esi]
:004BA046 83EEFC
sub esi, FFFFFFFC
:004BA049 11DB
adc ebx, ebx
这两种情况已经明白了吧!那我就省去一些了.
来到这里
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004BA177(C)
|
:004BA18A 240F
and al, 0F
:004BA18C C1E010
shl eax, 10
:004BA18F 668B07
mov ax, word ptr [edi]
:004BA192 83C702
add edi, 00000002
:004BA195 EBE2
jmp 004BA179
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004BA173(C)
|
:004BA197 61
popad 运行到这里以后看看下面这个跳转
:004BA198 E9DBEAFCFF jmp
00488C78 //这里程序便完成来内存中的解工作,
将要跳到程序入口点00488C78
然后就来到了这里:
00488C78 PUSH EBP //在这里下MAKEPE命令(但我的TRW经常出错,Why)或是Pedump
00488C79 MOV EBP,ESP 但若你用了Pedump那脱壳后的文件将不能在其它操作系统和
其它机器上运行!
--------------------------------------------------------------------------
工具:trw2000,Bw2k02(冲击波)
惜助工具脱壳:
1.把"bw" copy 到你要脱壳的软件目录中
2.先启动它
3.再启动要脱壳的软件
使用法:
Track: 开始进行跟踪,然后运行要跟踪的程序.
找到入口点后,会在Enter point 显示.
Stop : 停止跟踪
Exit : 退出
我的epo是0047AA50
用trw2000,ctrl+n
g 47aa50
PEDUMP
为什么不用MAKEPE?我也与TAE!一样!
----------------------------------------------------------------------
0167:004A87FB ADD EBX,BYTE +04--------->F9
0167:004A87FE JMP SHORT 004A87E1//----->注意这里是环循?
0167:004A8800 CALL NEAR [ESI+000A96DC]--->来到这里就显示注册窗!
0167:004A8806 ADD EDI,BYTE +04-------->光标放在这里按F7!
为什么要这样做了?由于来到环循点不可能让跳回去要向下走才行,为了怕
判定之误所以要中断不然又要再来!这里就什么搞鬼?可逼非回去不可也就
是不给你脱壳!所以只要发现你跳下一行就让注册窗提早出来!这也是
程序流程的定律!不过你只要一下跳多一行就行了!
------------------------------------------------------------------------
0167:004A8832 ADD EDI,BYTE +02
0167:004A8835 JMP SHORT 004A8819
0167:004A8837 POPA//----------->非常明显的标志!
0167:004A8838 JMP 0047AA50
-----------------------------------------------------------------------
0167:0047AA50 PUSH EBP//----------->真正的入口点!不过要注意不要把光标
0167:0047AA51 MOV EBP,ESP
不然这个入口点变样!不是如此还有
0167:0047AA53 ADD ESP,BYTE -0C
汇编我不知道你有没有看台湾火大客
0167:0047AA56 MOV EAX,0047A7F8
加、脱壳教程,也许是加了壳所以有
0167:0047AA5B CALL 004065E0
这样的变化!
0167:0047AA60 MOV EAX,[0047C204]
0167:0047AA65 MOV EAX,[EAX]
0167:0047AA67 CALL 0044E138
0167:0047AA6C MOV EAX,[0047C204]
0167:0047AA71 MOV EAX,[EAX]
0167:0047AA73 ADD EAX,BYTE +40
0167:0047AA76 MOV EDX,0047AB10
0167:0047AA7B CALL 00403B9C
0167:0047AA80 MOV ECX,[0047C058]
0167:0047AA86 MOV EAX,[0047C204]
0167:0047AA8B MOV EAX,[EAX]
0167:0047AA8D MOV EDX,[00477330]
0167:0047AA93 CALL 0044E150
0167:0047AA98 CALL 0046FF1C
0167:0047AA9D TEST AL,AL
0167:0047AA9F JNZ 0047AAF4
0167:0047AAA1 MOV ECX,[0047C204]
0167:0047AAA7 MOV ECX,[ECX]
0167:0047AAA9 MOV DL,01
0167:0047AAAB MOV EAX,[0047A3BC]
0167:0047AAB0 CALL 004471A4
0167:0047AAB5 MOV [0047D958],EAX
0167:0047AABA XOR EAX,EAX
0167:0047AABC PUSH EBP
0167:0047AABD PUSH DWORD 0047AAED
0167:0047AAC2 PUSH DWORD [FS:EAX]
0167:0047AAC5 MOV [FS:EAX],ESP
0167:0047AAC8 MOV EAX,[0047D958]
0167:0047AACD MOV EDX,[EAX]
0167:0047AACF CALL NEAR [EDX+D8]//------------------->注册提示窗口出来了!
------------------------------------------------------------------------------
真奇怪为什么用不了makepe?有谁成功过用过指导一些用法!Thanks!
是Delphi所编,当是脱壳后有dede反汇编比w32dsm89还要差?
w32dwm89出现乱码多,dede反译内容极少!
也许是小弟不会它吧?请会用它的朋友试一试反译一些此软件看一看
是小弟不会用还是软件本身不能反译?
dede2.5full!