shark恒破解笔记5-VB之rtcMsgBox

shark恒破解笔记5-VB之rtcMsgBox

本次是来破解一个名为”系统提速精灵“的软件,方法是对rtcMsgBox下断点。

运行程序
输入假码,会提示“注册码错“

shark恒破解笔记5-VB之rtcMsgBox_第1张图片

 

 

shark恒破解笔记5-VB之rtcMsgBox_第2张图片

 

在oep上面可以看到大量vb引擎函数  明显的VB程序

 

 

载入OD
对rtcMsgBox下断点,F9运行,点击注册后输入了假码,就运行到了我们的rtcMsgBox断点 我们F8跟下去

 

shark恒破解笔记5-VB之rtcMsgBox_第3张图片

 shark恒破解笔记5-VB之rtcMsgBox_第4张图片

 

 shark恒破解笔记5-VB之rtcMsgBox_第5张图片

 

 

直到跟到这个位置,发现弹出错误信息的提示框

shark恒破解笔记5-VB之rtcMsgBox_第6张图片

 

 

我们可以在这个地址备注,然后找关键跳,点击了确定后继续F8跟进

 

 

shark恒破解笔记5-VB之rtcMsgBox_第7张图片

 

这里注意有个jnz可以修改后跳过这个错误提示,但是这个地址显示的为系统领空,所以我们没办法修改,只有F8跟进,直到找到可以修改的程序领空。

 

 

 


 

继续往下f8.不远处有个retn,我们f8执行到retn,返回到调用这个函数的地方,我们这里可以给跳出后的call地址加个备注,备注这个call的函数里面是有提示错误的信息框的。

shark恒破解笔记5-VB之rtcMsgBox_第8张图片

 

 

 

 现在看地址发现我们回到了程序领空,我们要破解就是要让不提示这个错误的信息框,也就是这个call不能让他执行,我们向上翻看看有没有可以修改的关键跳。

 

shark恒破解笔记5-VB之rtcMsgBox_第9张图片

 

 

 

 

 可以发现0060BB28地址处有一处跳转跳入,而在他下方有个jmp可以跳过这个错误提示的call,但是这个jmp因为0060BB28的跳入跳过了jmp而没实现,所以我们要让0060BB28的跳入失效。

跟进这个跳转

 

shark恒破解笔记5-VB之rtcMsgBox_第10张图片

 

 

shark恒破解笔记5-VB之rtcMsgBox_第11张图片

 

 

OK 找到了关键跳 nop 或者jne都可以了

shark恒破解笔记5-VB之rtcMsgBox_第12张图片

 

posted @ 2019-04-24 20:45 卿先生 阅读( ...) 评论( ...) 编辑 收藏

你可能感兴趣的:(shark恒破解笔记5-VB之rtcMsgBox)