作者: 来源: 发表时间:2011-12-09 08:24 
步骤:
1.首先应该看看这个外挂,安装好后打开外挂,需要注册,怎么办呢???随便输入几个数字吧!!!就来输入777777777777777777(个人习惯),点注册后说无效的注册码,早在预料之内,无所谓啊.就是要看他出现什么提示.
2.抓住他的提示哦,我们现在用W32Dams来把外挂进行反汇编,然后点参考,然后点串式数据参考,在里面找到刚才的提示.双击然后点取消对话匡.好了!就到了这里:
00407125 . 52 PUSH EDX ********再此处下断点*******
00407126 . FF15 406C4100 CALL DWORD PTR DS:[416C40]*******关键的比较语句******
0040712C . 85C0 TEST EAX,EAX
0040712E . 75 5C JNZ SHORT CRONOUS_.0040718C
00407130 . 6A 10 PUSH 10 MB_OK|MB_ICONHAND|MB_APPLMODAL
00407132 . 68 EC614100 PUSH CRONOUS_.004161EC
00407137 . 68 DC614100 PUSH CRONOUS_.004161DC ******我们来到这里******* 0040713C . 50 PUSH EAX
我们来到这里,现在我往上看,看看上面有没有关键的语句 :p
上面00407126的call就是,这个就是关键call.通过这个call执行下面的比较和0040712e 处的跳转,而0040712e jne SHORT CRONOUS_.0040718C 就是跳转到失败的地方,所以我们要进到00407126的call里面看看,看他个究竟.
3.运行TRW后Ctrl+N,让它最小话,再打开外挂,再里面输入777777777777777777,注意!不要按注册啊!~~~~这个时候再按Crtl+N呼出TRW2000,下命令 bpx hmemcpy 回车,再下命令 g 回车! 好了!现在可以按确定了! 这时候TRW2000拦截住了外挂程序,当然,现在不是在外挂的领空,我们要到外挂的领空.连续按F12 60次(郁闷吧) !!!!就来到它的领空了!不要按多了啊!按多一次就要出现注册失败了!
4.现在我们要分析程序了!准备好啊!眼睛不要花了啊!看着点!不要分心啊(是不是觉的我很废话…………)
还记得刚才的哪个call附近的地址吗?什么!!!!??没有记下!我晕!那就重来1--3步吧!记下哪些地址啊!记下的同志们可以继续了!我们用命令 g 00407125 回车,来到刚才哪个call的上面一行了吧!!好了!注意!我们现在要按一次F10, 一次啊!一次哦!就一次哦~~~~~~哈哈!是不是到了哪个call那行了啊???到了就好!我们再按一次F8进入到这个call中间!!!!
我们来到这里:
10001F10 > 81EC 88080000 SUB ESP,888 ********我们停留在这里******
10001F16 8D8424 88000000 LEA EAX,DWORD PTR SS:[ESP+88]
10001F1D 53 PUSH EBX
10001F1E 55 PUSH EBP
10001F1F 56 PUSH ESI
10001F20 57 PUSH EDI
10001F21 50 PUSH EAX
10001F22 E8 09F9FFFF CALL YLINFOSN.10001830
10001F27 8DBC24 9C000000 LEA EDI,DWORD PTR SS:[ESP+9C]
10001F2E 83C9 FF OR ECX,FFFFFFFF
10001F31 33C0 XOR EAX,EAX
10001F33 83C4 04 ADD ESP,4
10001F36 F2:AE REPNE SCAS BYTE PTR ES:[EDI]
10001F38 F7D1 NOT ECX
10001F3A 49 DEC ECX
10001F3B 74 0B JE SHORT YLINFOSN.10001F48
