追踪软件技术

《追踪软件技术》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、追踪软件注册码的分析流程声明：此文章发表于我的小站，转载请注明出处：①梦叁肆年网络空间程序的名字为：应用程序图标替换器AppIconReplaceLite所用到的工具：PEIDOLLYDBG一：先观察安装好这个软件后，运行后，单击“ABOUT”按钮，在没有注册的情况下，我们就只能使用15天点“Register”注册，我们就乱输一个了嘛：xqk520。如图。出现一个对话框：Invalidkey：keyisnotvalid.pleadetryagain.附件1.jpg(47.14KB)2009-7-210:35二、软件查壳第二步：查壳还是用PEID对软件进程一下检测，可

2、以看出，这个软件是由MicrosoftVisualC++7.0编写的，最主要是没有加壳~哎，老天对是太好了，总是让我遇到些没有加壳的软件。如图附件2.jpg(30.44KB)2009-7-210:36三、程序的检测（1）第三步：检测直接用OD载入，我们主要是找那个对话框的提示了。在反汇编窗口，单击右键，在弹出的菜单选项中，选择“字符串参考”查找ASCLL码。往下拉就能看到我们注册失败的提示字符。如图附件3.jpg(17.48KB)2009-7-210:37三、程序的检测（2）我们双击这个代码处，就能回到反汇编区具体的地址位置处。如图附件4.jpg(25.61KB)2

3、009-7-210:38四、注册码分析（1）在这里，软件的注册就是将我们输入的注册码和通过计算机算法得出的注册码对比，如果想等就注册成功，反之就失败。这里，很明显，我们失败了。这样就行了，我们的注册码输进去了，肯定和真的注册码进行了对比。现在我们找的就是真码真正的注册码只会在假码出现的时候出来与之比较。但是这个正确的注册码早就跑了。真的和假的比过以后，那个真的就会在假码出现之前出现。现在我们来找这个过程前面的代码。在图5有一个地址：0040BA85中有一个CALL命令，跟着一个MESSAGEBOX1，在上面一定有一个CALL与之比较。我们把这个代码往上拉，来到如图所

4、示的地址处，程序就是在这个地方进行的判断。附件5.jpg(8.82KB)2009-7-210:39四、注册码分析（2）现在，我们如果能让程序停在这个位置，真的注册码就会停下来等我们来看，所以使用到OD中的断点。选中0040BA52处，右键弹出菜单，选“断点”下的“切换”那个地址就会变得红色。如图附件6.jpg(11.16KB)2009-7-210:40四、注册码分析（3）现在我们让程序运行起来，按F9运行程序。我们同样注册这个软件，我输入的注册名和注册码都是xqk520。一按下注册按扭，软件就没有反应了，这就是断点起了作用，程序运行到这个地方，就停了下来，设为断点的

5、时方，地址出现黑色，如图附件7.jpg(11.3KB)2009-7-210:42四、注册码分析（4）现在我们一步一步的执行程序，先按一下F7（遇到CALL，把CALL里面的内容执行完毕），即来到注册码比较的地方，现在我们开始按F8（跟进CALL的子函数，在CALL里面一句一句的执行），我们一边按，一边看堆栈窗口的变化。当我们按了11下F8时，窗口出现了一些很奇怪的字符。如图附件8.jpg(11.01KB)2009-7-210:43五、程序注册成功是不是很一点很熟悉的感觉，这里面有我们注册名和注册码：xqk520前面的一大串，有可能就是和我们的假码比较的真码。我们先复

6、制，"d822812d3c883656081e973be637f87b"把这个放进注册码框中，软件就注册成功了，如图附件9.jpg(21.45KB)2009-7-210:45