total uninstall这个软件大家也许听说过,这是一个安装监视、卸载软件,通常用在绿化方面,但是谁听说过它也可以用在破解上?
我也没听说过,因为这个方法是我原创的。
所有软件都可以看做是重起验证,只要它是共享软件。不对吗?不管是正版还是盗版,每次启动的时候软件肯定都会验证它是否注册了,对不对?
那么软件的注册信息通常都放在哪了呢?
1、最可能的地方--注册表
2、注册信息文件
3、加密狗
不说第三个,说说前两个。不管你输入的注册码是对还是错,软件一般总是记录下来以便下次启动的时候验证(少数软件是注册成功才生成这些,失败则什么都不做,那就不能用此方法了),那么,用total uninstall监视软件,然后注册,就可以发现软件验证之处是注册表还是注册信息文件了,这样对下断大有帮助,尤其是软件有壳脱不下来的时候,那么查找字符串的方法就失效了。
也许有人要说了,不就一个注册表一个注册信息文件吗?我两个都试验一下不就知道了?
是,你说的没错,但是,并非断点下的对就直接能断到关键处的,也许关键点从你眼皮下过去你还不不晓得那就是关键点呢,所以,有的放矢更好一点
本方法尤其对那种提示“注册信息已保存,请重起验证”的软件有效。
现在以 木马清除专家 2008 为例:
total uninstall监视下启动,却没想到 木马清除专家 检测到它是由别的程序启动后,就把 total uninstall当成病毒关闭了,这也好办,total uninstall监视的原理是对扫描前后对比,然后发现其中不同,那么可以用total uninstall启动一个别的小软件,然后把那个软件关闭,再对 木马清除专家 假注册,然后扫描,一样的。
监视发现注册表生成如下,不用说了吧,当然下注册表断点了。
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\木马清除专家2006]
"regcode"="677677"
od载入,下bp RegOpenKeyExA断点,bp RegOpenKeyA也可以断下,但是断不到关键点,
f9数下,堆栈到这里:
0012FAF8 1005F360 /CALL 到 RegOpenKeyExA 来自 krnln.1005F35A
0012FAFC 80000001 |hKey = HKEY_CURRENT_USER
0012FB00 00B7B028 |Subkey = "Software\木马清除专家2006"
0012FB04 00000000 |Reserved = 0
0012FB08 00020019 |Access = KEY_READ
0012FB0C 0012FB20 \pHandle = 0012FB20
右键返回,慢慢跟吧
微博帐号登录