本帖最后由 极限度—魔 于 2012-8-28 07:11 编辑
我们先来看看这个是用什么语言写的吧,PEID查看:
好,是用 Borland Delphi 6.0 - 7.0 语言写的.
为什么要强调这个呢?因为有些语言编写软件,想要用OD查看字符串,是要跳到某个地址的.当然,伱会看入口特征就免了这步
---------------破解
我们先打开软件,点击注册,看看会提示什么:
好,它提示的是 注册码错误 .我们接下来就在OD里搜索这个关键字符串,修改上面的关键跳即可
由于这个软件是用Borland Delphi写的,所以我们要跳到 0041000 ,然后删除模块分析,就能找到字符串
载入OD--转到表达式(快捷键 Ctrl+G)--输入 0041000 --确定
然后 右击--分析--删除模块分析
然后我们就 右击--搜索字符串 注册码错误--双击跟随
004A9D02 /75 1F jnz short AutoShut.004A9D23 ; // 关键跳
004A9D04 |8B83 08030000 mov eax,dword ptr ds:[ebx+0x308]
004A9D0A |8B10 mov edx,dword ptr ds:[eax]
004A9D0C |FF92 C4000000 call dword ptr ds:[edx+0xC4]
004A9D12 |B8 949D4A00 mov eax,AutoShut.004A9D94 ; 注册码错误
004A9D17 |E8 AC46F8FF call AutoShut.0042E3C8
我们修改 004A9D02 为JMP就可以了
最后保存
---------------去广告
打开软件---打开彗星助手-- 彗星助手选择 网页SPY--然后把那个图标拉到软件的广告上
接下来,我们就用winhex
载入winhex--点击同步搜索--输入 http://003.buyersmust.com/gg/091218ding.html,发现winhex无法搜索到!
这时候我们就来模糊搜索吧.一般如果前面没有 www. 开头的,我们都是用最后几个作为模糊搜索的字:
在同步搜索里输入 091218ding.html--确定,就会来到这里:
然后把- http://taobao.fstgw.com/091218ding.htm
复制代码 用00填充即可
填充方法:点击编辑--填入选块--直接按确定:
最后保存即可 |