今天所用到的示例程序仍然是《Shark恒零基础百集VIP破解教程》中的示例程序:
打开软件提示的依旧是需要注册:
先查壳:
VB程序,无壳,下面载入OD,搜索字符串,因为VB采用Unicode编码,所以搜索Unicode字符串:
转到相应位置,向上溯源,发现关键跳:
此情此景就很熟悉了,修改跳转保存文件就可以到达破解的目的。
这里继续向上溯源,将断点设置在该段段首位置:
运行程序后,单步调试,观察三个窗口是否出现可以字符串:
运行至Ox0042E5CF处时寄存器窗口出现可疑字符串(可疑字符串出现前出现过输入的假码):
复制下来测试一下:
发现是真码,接下来重新载入OD,搜索字符串:
发现一个比较可疑的字符串,这是一个地址,在浏览器的文件夹里,而且还有mima003的字样,把该字符串复制下来在磁盘中搜索一下:
发现一个隐藏文件,用记事本打开:
发现里面存储的是刚刚找到的真码,所以该程序的注册码是储存在该文件路径下的:C:\Program Files\Internet Explorer\SIGNUP
如果,删除这个真码,程序又恢复到未注册的状态了。