📄 crack31.txt
字号:
00412556: 89AD65BD4000 mov dword ptr [ebp+0040BD65],ebp
0041255C: 8B85C7BB4000 mov eax,dword ptr [ebp+0040BBC7]
00412562: 89856FBE4000 mov dword ptr [ebp+0040BE6F],eax
00412568: E8A9140000 call 00413A16 <--内有反跟踪的代码,进入中断处理程序
0041256D: BB63BD4000 mov ebx,0040BD63
00412572: 03DD add ebx,ebp
00412574: 53 push ebx
00412575: 6A64 push 00000064
00412577: 6A63 push 00000063
00412579: 6A00 push 00000000
0041257B: FF9508BC4000 call dword ptr [ebp+0040BC08] <--SetTimer
00412581: 61 popad
00412582: 6A00 push 00000000
00412584: FF95C3BB4000 call dword ptr [ebp+0040BBC3] <--GetModuleHandle
0041258A: 89855FBD4000 mov dword ptr [ebp+0040BD5F],eax <--413A12
00412590: 80BDC8B2400001 cmp byte ptr [ebp+0040B2C8],01 <--412F7B
[ebp+0040B2C8]是一个标志,可能是用来标识是否被注册版幻影加密的
00412597: 7435 jz 004125CE
00412599: BEE1B94000 mov esi,0040B9E1
0041259E: 03F5 add esi,ebp <--413694
004125A0: 56 push esi
004125A1: FF959FBB4000 call dword ptr [ebp+0040BB9F] <--GetSystemTime
004125A7: 668B85EFB94000 mov ax,word ptr [ebp+0040B9EF] <--取毫秒时间
004125AE: 240F and al,0F
004125B0: 3C02 cmp al,02
004125B2: 731A jnb 004125CE <--结果随机,用来随机显示未注册版加密。
004125B4: B8BEB94000 mov eax,0040B9BE
004125B9: 03C5 add eax,ebp <--
004125BB: BB11B24000 mov ebx,0040B211
004125C0: 03DD add ebx,ebp <--412EC4
****************************************************************
本软件由 幻影v1.5 未注册版本加密
This program protected by DBPE v1.5 Unregistered version
Homepage: http://fsdb.yeah.net E-mail: D.Boy@126.com
*****************************************************************
004125C2: 6A30 push 00000030
004125C4: 50 push eax
004125C5: 53 push ebx
004125C6: 6A00 push 00000000
004125C8: FF9500BC4000 call dword ptr [ebp+0040BC00] <--MessageBoxA
---------------------以上一段代码分析完毕,处理反跟踪和是否被注册版幻影加密,否则将随机显示NAG窗-------------
004125CE: E862060000 call 00412C35 <--查询注册键,是否有注册信息
004125D3: 663D0100 cmp ax,0001 <--是否找到
004125D7: 7416 jz 004125EF <--找到,跳转,没有则表示第一次使用,在注册表中留下足迹
004125D9: BE60B14000 mov esi,0040B160
004125DE: 03F5 add esi,ebp <--ESI指向还原后的注册信息首地址
004125E0: 668B8589B44000 mov ax,word ptr [ebp+0040B489] <--41313C 0x60
004125E7: 668906 mov word ptr [esi],ax <--保存
004125EA: E802070000 call 00412CF1 <--创建注册键
004125EF: E87C030000 call 00412970 <--获取卷信息并且跟据注册表信息来检测软件是否已经注册
004125F4: 6689857DB44000 mov word ptr [ebp+0040B47D],ax <--40B47D卷信息标志
[ebp+0040B47D]从此开始保存了软件是否已经注册的信息。(此注册是指软件注册,而非标识幻影注册版加密)
004125FB: 663D0100 cmp ax,0001
004125FF: 0F84BF000000 jz 004126C4 <--已注册,就跳转到还原Section处
--------------------以上一段代码分析完毕,判断是否软件已经注册------------
00412605: 83BD5DB7400000 cmp dword ptr [ebp+0040B75D],00000000 <--413410
[ebp+0040B75D]是一个标志,代码中有多处判断。但没有对其赋值的代码,只从EXE中得到。作用目前还不太清楚
0041260C: 7426 jz 00412634 <--为0,则跳走。到显示StartMessage处。
0041260E: 83BD61B7400001 cmp dword ptr [ebp+0040B761],00000001 <--413414
[ebp+0040B761]是一个标志,作用不清楚。目前没有发现赋值代码。可能是用来表示是否有Register Cub吧
00412615: 751D jnz 00412634 <--不为1,就跳转到显示StartMessage处。
00412617: E80A060000 call 00412C26 <--显示软件加的NAG信息,Register Cub
*************************************
欢迎你使用幻影 1.5 beta2,
幻影v1.5是共享软件,如果你喜欢它,希望你注册。
E-mail : ding-boy@netease.com
Homepage : http://fsdb.yeah.net
**************************************
0041261C: 6689857FB44000 mov word ptr [ebp+0040B47F],ax <-413132,显示过NAG了
[ebp+0040B47F]看来从此作为一个标志了。作用不太清楚。ax返回的是按的是Try还是Register按钮。
00412623: BBC9B24000 mov ebx,0040B2C9
00412628: 03DD add ebx,ebp <--412F7C,要显示的内容,如果为"||"则表示不显示。
0041262A: 663D0200 cmp ax,0002 <--2,好象表示选择了Register按钮,则跳转到进入注册处
0041262E: 0F8444010000 jz 00412778
00412634: 6681BDF1B440007C7C cmp word ptr [ebp+0040B4F1],7C7C <--4131A4,判断是否有StartMessage显示
*****************
欢迎 ^_^
********************
0041263D: 741A jz 00412659 <--没有则跳走,进入密码输入判断处
0041263F: B8BEB94000 mov eax,0040B9BE
00412644: 03C5 add eax,ebp
00412646: BBF1B44000 mov ebx,0040B4F1
0041264B: 03DD add ebx,ebp <--4131A4
*****************
欢迎 ^_^
********************
0041264D: 6A30 push 00000030
0041264F: 50 push eax
00412650: 53 push ebx
00412651: 6A00 push 00000000
00412653: FF9500BC4000 call dword ptr [ebp+0040BC00] <---显示NAG窗口,Start Message
------------------以上一段代码分析未完,有几处标志作用不太清楚。-------------------------------
00412659: E8A0020000 call 004128FE <---输入密码并检测,Password很好得到,还原后的代码中有。
0041265E: BB91B84000 mov ebx,0040B891
00412663: 03DD add ebx,ebp <---413544
********************
Invalid PassWord
******************
00412665: 663D0000 cmp ax,0000
00412669: 0F8409010000 jz 00412778 <--密码错,跳走到注册处。
0041266F: E882010000 call 004127F6 <--检查是否过期
00412674: BB1DB64000 mov ebx,0040B61D
00412679: 03DD add ebx,ebp <--4132D0
***************************
试用期已过。
***************************
0041267B: 663D0000 cmp ax,0000
0041267F: 0F84F3000000 jz 00412778 <--过期,则跳走到注册处
00412685: E8C3010000 call 0041284D <--在注册表中查找注册信息,没有则创建注册信息。
0041268A: BB1DB64000 mov ebx,0040B61D <--4132D0
0041268F: 03DD add ebx,ebp
***************************
试用期已过。
***************************
00412691: 663D0000 cmp ax,0000
00412695: 0F84DD000000 jz 00412778 <--未创建成功,则跳转到注册处
0041269B: 6683BD7DB4400000 cmp word ptr [ebp+0040B47D],0000 <--40B47D标志,是否已经成为正版用户
004126A3: 751F jnz 004126C4 <--标志有效则跳转到还原Section处
004126A5: 83BD5DB7400000 cmp dword ptr [ebp+0040B75D],00000000 <--413410
004126AC: 7416 jz 004126C4
004126AE: 6683BD7FB4400001 cmp word ptr [ebp+0040B47F],0001 <-413132,1表示按的是Try按钮
004126B6: 740C jz 004126C4 <-是,则到还原Section处
004126B8: BBC9B24000 mov ebx,0040B2C9
004126BD: 03DD add ebx,ebp <--412F7C,显示信息如果为"||"则不显示
004126BF: E9B4000000 jmp 00412778 <--到注册处
-----------------------------以上代码分析未完,还是几个标志作用不太清楚------------------
---------------------还原各Section--------------
004126C4: BED7B24000 mov esi,0040B2D7
004126C9: 03F5 add esi,ebp <--412F8A
004126CB: 833E00 cmp dword ptr [esi],00000000
004126CE: 746F jz 0041273F
004126D0: 8B9DD3B24000 mov ebx,dword ptr [ebp+0040B2D3] <--412F86
004126D6: 031E add ebx,dword ptr [esi]
004126D8: 8B4E04 mov ecx,dword ptr [esi+04]
004126DB: 83F900 cmp ecx,00000000
004126DE: 7505 jnz 004126E5
004126E0: 83C608 add esi,00000008
004126E3: EBE6 jmp 004126CB
004126E5: D1E9 shr ecx,1
004126E7: 668B8567B44000 mov ax,word ptr [ebp+0040B467] <--41311A, 82EE
004126EE: 66F7D0 not ax
004126F1: 663103 xor word ptr [ebx],ax
004126F4: 6648 dec ax
004126F6: 66813B3F3F cmp word ptr [ebx],3F3F
004126FB: 7518 jnz 00412715
004126FD: 817BFC44425045 cmp dword ptr [ebx-04],45504244
00412704: 750F jnz 00412715
00412706: 6683BD7DB4400001 cmp word ptr [ebp+0040B47D],0001 <--40B47D卷信息标志
0041270E: 7505 jnz 00412715
00412710: 66C7032B2B mov word ptr [ebx],2B2B
00412715: 66817BFF3F3F cmp word ptr [ebx-01],3F3F
0041271B: 7519 jnz 00412736
0041271D: 817BFB44425045 cmp dword ptr [ebx-05],45504244
00412724: 7510 jnz 00412736
00412726: 6683BD7DB4400001 cmp word ptr [ebp+0040B47D],0001 <--40B47D卷信息标志
0041272E: 7506 jnz 00412736
00412730: 66C743FF2B2B mov word ptr [ebx-01],2B2B
00412736: 43 inc ebx
00412737: 43 inc ebx
00412738: E2B7 loop 004126F1
0041273A: 83C608 add esi,00000008
0041273D: EB8C jmp 004126CB
-------------以上一段为还原各Section,-------------------------------
0041273F: 90 nop
00412740: 89AD9FBE4000 mov dword ptr [ebp+0040BE9F],ebp
00412746: E84C030000 call 00412A97 <--作用不清
0041274B: E82D040000 call 00412B7D <--作用不清
00412750: 8B85CFB24000 mov eax,dword ptr [ebp+0040B2CF] <--412F82
00412756: 8B9DD3B24000 mov ebx,dword ptr [ebp+0040B2D3] <--412F86
0041275C: 03C3 add eax,ebx
0041275E: 8985F6B94000 mov dword ptr [ebp+0040B9F6],eax
00412764: 8BC5 mov eax,ebp
00412766: 5B pop ebx
00412767: 59 pop ecx
00412768: 5A pop edx
00412769: 5E pop esi
0041276A: 5F pop edi
0041276B: 5D pop ebp
0041276C: 9D popfd
0041276D: FFB0F6B94000 push dword ptr [eax+0040B9F6]
00412773: E90F120000 jmp 00413987 <--跳转到最后的代码处
-------未注册时跳到此处----------------
00412778: 66813B7C7C cmp word ptr [ebx],7C7C
0041277D: 7413 jz 00412792 <--是否有信息显示,没有则跳走
0041277F: B8C0B94000 mov eax,0040B9C0
00412784: 03C5 add eax,ebp <--413673 一个空格
00412786: 6A30 push 00000030
00412788: 50 push eax
00412789: 53 push ebx
0041278A: 6A00 push 00000000
0041278C: FF9500BC4000 call dword ptr [ebp+0040BC00] <--MessageBoxA
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -