QQ好友群发机 2.53 内存注册机

0556

游客，如果您要查看本帖隐藏内容请回复

【文章标题】: QQ好友群发机 2.53 内存注册机制作
【文章作者】: 给你阳光
【作者邮箱】: Q.Q@live.cn
【作者QQ号】: 195018614
【软件名称】: QQ好友群发机 2.53
【软件大小】: 1.47 MB
【下载地址】: http://www.skycn.com/soft/30042.html
【加壳方式】: ASPack
【保护方式】: 用户名+注册码+重启验证
【编写语言】: Delphi
【使用工具】: PEiD0.94 ,OD1.1
【操作平台】: Win9x/WinNT/Win2000/WinXP/...
【软件介绍】: 本软件是一款功能强大操作简便的QQ好友消息群发软件
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  1.PEiD0.94 查壳，得知使用的是ASPack保护，ESP定律脱壳。
  
  2.运行脱壳后文件，并尝试注册，发现是重启验证方式。（刚刚输入的注册名和假码要牢记，便于后面的工作）
  
  3.OD 载入，来到如下代码区域
  
   

引用
  004D8D34 > $  55            PUSH EBP   ;  // 程序入口处
  004D8D35   .  8BEC          MOV EBP,ESP
  004D8D37   .  83C4 F0       ADD ESP,-10
  004D8D3A   .  53            PUSH EBX
  004D8D3B   .  B8 B4884D00   MOV EAX,qqsender.004D88B4
  004D8D40   .  E8 CFDDF2FF   CALL qqsender.00406B14
  004D8D45   .  8B1D DCC24D00 MOV EBX,DWORD PTR DS:[4DC2DC]            ;  qqsender.004DDC38
  004D8D4B   .  8B03          MOV EAX,DWORD PTR DS:[EBX]
  

  4.分析ASCII 代码，因为是重启验证的方式，我们可以寻找一些比较“敏感”字符，譬如我找的是“- 未购买用户”
  我们可以看到如下ASCII信息
   

引用
  004D818BMOV EDX,qqsender.004D828C              Software\qqsender  ;  // 很明显是注册表方式注册
  004D819AMOV EDX,qqsender.004D82A8              RegUser            ;  // 用户名
  004D81B6MOV EDX,qqsender.004D82B8              RegNo              ;  // 注册信息（在此处“回车”）  
  004D81C9MOV EDX,qqsender.004D82C8              qqsenderChina
  004D820DMOV EDX,qqsender.004D82E0               - 未购买用户      
  004D82FEMOV ECX,qqsender.004D8330              提示
  004D8303MOV EDX,qqsender.004D8338              本软件需要注册后才能无限制使用，
  

  5.回车后，我们来到反汇编窗口，看到如下代码：
   

引用
  004D81B6 .  BA B8824D00MOV EDX,qqsender.004D82B8           RegNo   // F2 在此处下断
  004D81BB .  8BC3      MOV EAX,EBX                        
  004D81BD .  E8 36A5F8FFCALL qqsender.004626F8               
  004D81C2 .  8B45 EC   MOV EAX,DWORD PTR SS:[EBP-14]      
  004D81C5 .  50         PUSH EAX                             
  

  6.F8 单步，如下代码（注意观察寄存器及堆栈窗口提示信息！）
   

引用
  004D81B6  |.  BA B8824D00   MOV EDX,qqsender.004D82B8                ;  // F2 下断
  004D81BB  |.  8BC3          MOV EAX,EBX
  004D81BD  |.  E8 36A5F8FF   CALL qqsender.004626F8
  004D81C2  |.  8B45 EC       MOV EAX,DWORD PTR SS:[EBP-14]            ;  //获取假码
  004D81C5  |.  50            PUSH EAX
  004D81C6  |.  8D4D E8       LEA ECX,DWORD PTR SS:[EBP-18]
  004D81C9  |.  BA C8824D00   MOV EDX,qqsender.004D82C8                ;  qqsenderChina
  004D81CE  |.  A1 ECE44D00   MOV EAX,DWORD PTR DS:[4DE4EC]
  004D81D3  |.  E8 CCDAFFFF   CALL qqsender.004D5CA4                   ;  //用户名寄存器窗口出现可疑字符组合
  004D81D8  |.  8B55 E8       MOV EDX,DWORD PTR SS:[EBP-18]
  004D81DB  |.  58            POP EAX                                  ;  //发现应该是真码
  004D81DC  |.  E8 9BC7F2FF   CALL qqsender.0040497C                   ;  //比较真码 EDX 可尝试注册机
  004D81E1  |.  75 07         JNZ SHORT qqsender.004D81EA
  004D81E3  |.  C605 E8E44D00>MOV BYTE PTR DS:[4DE4E8],1
  004D81EA  |>  8BC3          MOV EAX,EBX
  

  7.利用KeyMake 制作注册机
   

引用
  中断地址：4D81DC
  中断次数：1
  第一字节：E8
  指令长度：5
  
  内存方式→寄存器→EDX→保存→生成
  

  8.其他：这类破解我们可以尝试一些比较敏感的字符信息，未必要使用诸多断点命令等。
  
--------------------------------------------------------------------------------
【经验总结】
  没啥好说的，只是出于好奇而已。
  利用同样的方法可以试试破解并制作其自带的“终极QQ消息群发大师”小工具的注册机。
  
--------------------------------------------------------------------------------