论坛风格切换
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 1724阅读
  • 1回复

[求助-系统问题]破解辅助工具巧应用-total uninstall [复制链接]

上一主题 下一主题
离线zhb_3448
 

发帖
59686
今日发帖
最后登录
2016-12-13
只看楼主 倒序阅读 使用道具 楼主  发表于: 2008-10-22 19:48:49
total uninstall这个软件大家也许听说过,这是一个安装监视、卸载软件,通常用在绿化方面,但是谁听说过它也可以用在破解上?


我也没听说过,因为这个方法是我原创的。


所有软件都可以看做是重起验证,只要它是共享软件。不对吗?不管是正版还是盗版,每次启动的时候软件肯定都会验证它是否注册了,对不对?

那么软件的注册信息通常都放在哪了呢?


1、最可能的地方--注册表

2、注册信息文件

3、加密狗



不说第三个,说说前两个。不管你输入的注册码是对还是错,软件一般总是记录下来以便下次启动的时候验证(少数软件是注册成功才生成这些,失败则什么都不做,那就不能用此方法了),那么,用total uninstall监视软件,然后注册,就可以发现软件验证之处是注册表还是注册信息文件了,这样对下断大有帮助,尤其是软件有壳脱不下来的时候,那么查找字符串的方法就失效了。


也许有人要说了,不就一个注册表一个注册信息文件吗?我两个都试验一下不就知道了?

是,你说的没错,但是,并非断点下的对就直接能断到关键处的,也许关键点从你眼皮下过去你还不不晓得那就是关键点呢,所以,有的放矢更好一点


本方法尤其对那种提示“注册信息已保存,请重起验证”的软件有效。


现在以 木马清除专家 2008 为例:


total uninstall监视下启动,却没想到 木马清除专家 检测到它是由别的程序启动后,就把 total uninstall当成病毒关闭了,这也好办,total uninstall监视的原理是对扫描前后对比,然后发现其中不同,那么可以用total uninstall启动一个别的小软件,然后把那个软件关闭,再对 木马清除专家 假注册,然后扫描,一样的。

监视发现注册表生成如下,不用说了吧,当然下注册表断点了。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\木马清除专家2006]
"regcode"="677677"


od载入,下bp RegOpenKeyExA断点,bp RegOpenKeyA也可以断下,但是断不到关键点,

f9数下,堆栈到这里:

0012FAF8 1005F360 /CALL 到 RegOpenKeyExA 来自 krnln.1005F35A
0012FAFC 80000001 |hKey = HKEY_CURRENT_USER
0012FB00 00B7B028 |Subkey = "Software\木马清除专家2006"
0012FB04 00000000 |Reserved = 0
0012FB08 00020019 |Access = KEY_READ
0012FB0C 0012FB20 \pHandle = 0012FB20

右键返回,慢慢跟吧
离线七夜漓伤
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 沙发  发表于: 2008-10-22 22:08:02
期待你的下篇杰作