hankerstudio

摘要： 脱壳 xp下用PEiD的通用脱壳插件去壳成功~ 去NAG OD载入去壳后程序, 单步执行到00438517处弹出提示框, 所以我们把这行nop掉, 不让弹, 保存~ 用户名与注册码 由IDR反编译源码分析可得注册码输入框Edit1change事件入口00437D28, 向下找到关键算法方法00435 阅读全文

摘要： 这个程序与上一个是同一个作者的也是NE格式的, 继续用IDA分析 seg000:006C call @Read$qm4Text7Longint ; Read(var f; var v: Longint{DX:AX}) seg000:0071 mov word_11052, ax seg000:007 阅读全文

摘要： 这个程序是NE格式的无法在32位以上机器运行, 复制到xp中可以运行 我们用ida反编译分析一下, 搜索文本"Enter Your"很快就在cseg01:007B 行看到了, cseg01:0058 PROGRAM proc near cseg01:0058 call INITTASK cseg01 阅读全文

摘要： 暴力破解 使用Delphi Decompiler分析源码可知各个控制事件的入口地址 TfrmMain.edtNameChange 004435A4 TfrmMain.btnNSTestClick 0044378C TfrmMain.edtSerialChange 00443808 TfrmMain. 阅读全文

摘要： 脱壳 PEiD查看有壳 UPX v0.89.6 - v1.02 v1.05 - v1.22, 使用 UPX Unpacker脱壳成功~ 暴力破解 OD载入去壳后程序, 搜索失败关键词Don't give up定位到0040162E, 向上找到第一个关键跳004015B2, 改为jmp 0040160 阅读全文

摘要： 去NAG 程序一运行就有个密钥文件验证提示框, 我们可以先跳过~, OD载入程序一眼就看到了文件读取并弹框的代码, 前面这些代码看, 并没有对文件进行校验, 所以我们可以直接创建一个CRUEME.DAT的空文件, 也可以将00401065处的jnz改为jmp, 达到跳过提示框的操作~ 暴力破解 搜索 阅读全文

摘要： 手动脱壳 程序有Petite 1.2 -> (c)1998 Ian Luck (h) *壳, 使用PEiD的通用脱壳器脱壳失败, 转用OD手动脱壳, OD载入程序看到了熟悉的pushad, Ctrl+F查找popad, 定位到00406622, 下个断点, F9运行程序, F8单步运行跳转到0040 阅读全文

摘要： 暴力破解 程序在win10下无法运行, 复制到xp虚拟机中可运行, 随便输入后验证, 提示"Naah! Wrong!" IDA工具载入, 搜索文本: Naah, 定位到如下代码处: ...... cseg01:01D2 dd tiTForm cseg01:01D6 db 38h ; 8 cseg01 阅读全文

摘要： 暴力破解 程序是VB写的, 所以我们优先使用VB Decompiler v11.5来反编译程序, 直接看伪源码 工具分析可知, 程序有4个窗口, (Main, Form1, Form2, wait), 我们输入注册码, 点按钮验证后, 会弹出计数窗口(wait), 然后再跳到最窗口(工具看了可知是F 阅读全文

摘要： 有壳(UPX 0.72), 无法直接解壳, 无法直接运行~, 只能求助于大佬了, 百度了大佬的帖子 手动去壳(吾爱破解-solly的教程) 1). OD载入原程序, 第一条语句是 push ad, 我们向下找到pop ad(00409197), 先下个断点, 大佬直接运行程序会异常停在004016F 阅读全文