您的位置：首页 → 精文荟萃 → 破解文章 → 校园数字化管理系统V3.0爆破详解

校园数字化管理系统V3.0爆破详解

时间：2004/10/15 0:57:00来源：本站整理作者：蓝点我要评论(0)

　校园数字化管理系统V3.0简介：

校园数字化管理系统是作者从几年的教育教学工作经验中，从实际工作需要出发，以九年义务制教育学校的日常管理

为蓝本设计的一套教育管理软件，主要以学籍管理和师资管理为主，围绕这两个主线，辅以图书管理、教师出勤管理、财..................

-------------------------------------------
注册费：280元。

下载地址： http://2688.nease.net/school/schoolsetup.exe



一、用W32DASM载入程序后，查找“试用版”字符串，地址为65A769


0065A6C7 |. 8BC3 MOV EAX,EBX
0065A6C9 |. E8 8AD8DDFF CALL schoolad.00437F58
0065A6CE |. A1 646B6600 MOV EAX,DWORD PTR DS:[666B64]
0065A6D3 |. 8B00 MOV EAX,DWORD PTR DS:[EAX]＝＝＝＝＞EAX＝10F0C4
0065A6D5 |. 83B8 14020000>CMP DWORD PTR DS:[EAX+214],1====＞DS：［EAX＋214］＝00000000。此值即为未注册标志，如果已注册此值为1。其内存地址为010F2D8。
0065A6DC |. 0F85 87000000 JNZ schoolad.0065A769＝＝＝＝＞从此处跳到“试用版”出现处。看上面的比较处。如果想使“关于”里面显示为正式版，看起来舒服点：）可以将此跳转NOP掉。
0065A6E2 |. BA 00A86500 MOV EDX,schoolad.0065A800
0065A6E7 |. 8B83 E0020000 MOV EAX,DWORD PTR DS:[EBX+2E0]
0065A6ED |. E8 5EE0DDFF CALL bbb.00438750
0065A6F2 |. A1 646B6600 MOV EAX,DWORD PTR DS:[666B64]
0065A6F7 |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
0065A6F9 |. 8B88 18020000 MOV ECX,DWORD PTR DS:[EAX+218]
0065A6FF |. 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4]
0065A702 |. BA 18A86500 MOV EDX,bbb.0065A818
0065A707 |. E8 249CDAFF CALL bbb.00404330
0065A70C |. 8B55 FC MOV EDX,DWORD PTR SS:[EBP-4]
0065A70F |. 8B83 DC020000 MOV EAX,DWORD PTR DS:[EBX+2DC]
0065A715 |. E8 36E0DDFF CALL bbb.00438750
0065A71A |. A1 646B6600 MOV EAX,DWORD PTR DS:[666B64]
0065A71F |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
0065A721 |. 8B88 10020000 MOV ECX,DWORD PTR DS:[EAX+210]
0065A727 |. 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8]
0065A72A |. BA 34A86500 MOV EDX,bbb.0065A834
0065A72F |. E8 FC9BDAFF CALL bbb.00404330
0065A734 |. 8B55 F8 MOV EDX,DWORD PTR SS:[EBP-8]
0065A737 |. 8B83 EC020000 MOV EAX,DWORD PTR DS:[EBX+2EC]
0065A73D |. E8 0EE0DDFF CALL bbb.00438750
0065A742 |. 33D2 XOR EDX,EDX
0065A744 |. 8B83 EC020000 MOV EAX,DWORD PTR DS:[EBX+2EC]
0065A74A |. E8 95C3ECFF CALL bbb.00526AE4
0065A74F |. A1 646B6600 MOV EAX,DWORD PTR DS:[666B64]
0065A754 |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
0065A756 |. 8B90 0C020000 MOV EDX,DWORD PTR DS:[EAX+20C]
0065A75C |. 8B83 F0020000 MOV EAX,DWORD PTR DS:[EBX+2F0]
0065A762 |. E8 E9DFDDFF CALL bbb.00438750
0065A767 |. EB 65 JMP SHORT bbb.0065A7CE
0065A769 |> BA 4CA86500 MOV EDX,bbb.0065A84C＝＝＝＝＞此处为“试用版”出现处。看从何处跳来。
0065A76E |. 8B83 E0020000 MOV EAX,DWORD PTR DS:[EBX+2E0]
0065A774 |. E8 D7DFDDFF CALL bbb.00438750
0065A779 |. A1 646B6600 MOV EAX,DWORD PTR DS:[666B64]
0065A77E |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
0065A780 |. 8B88 18020000 MOV ECX,DWORD PTR DS:[EAX+218]
0065A786 |. 8D45 F4 LEA EAX,DWORD PTR SS:[EBP-C]


二、用OLLYDBG载入程序，并在0065A6D5处下断，点“关于....”－－＞“关于SChoolADMIN”。程序断在0065A6D5 |.83B8 14020000>CMP DWORD PTR DS:[EAX+214],1处。然后在转存中跟随内存地址，下内存写入断点010F2D8，运行程序点“关于.....”－－＞“注册校园数字化管理系统V3.0”。断在0065D9DC处：

0065D9BC . 807D FB 00 CMP BYTE PTR SS:[EBP-5],0
0065D9C0 . 74 18 JE SHORT schoolad.0065D9DA
0065D9C2 . 6A 00 PUSH 0
0065D9C4 . B9 4CDB6500 MOV ECX,schoolad.0065DB4C
0065D9C9 . BA 58DB6500 MOV EDX,schoolad.0065DB58
0065D9CE . A1 78686600 MOV EAX,DWORD PTR DS:[666878]
0065D9D3 . 8B00 MOV EAX,DWORD PTR DS:[EAX]
0065D9D5 . E8 B6A9DFFF CALL schoolad.00458390
0065D9DA > 33C0 XOR EAX,EAX
0065D9DC . 8983 14020000 MOV DWORD PTR DS:[EBX+214],EAX＝＝＝＞断在此处。此时EAX＝00000000，DS［EAX＋214］＝00000000，内存地址为010F52D8。此处为注册时运行经过的，如果不进行注册则不会经过此处。所以这里不要改动。看下面。
0065D9E2 . C645 FA 00 MOV BYTE PTR SS:[EBP-6],0
0065D9E6 . E9 1E010000 JMP schoolad.0065DB09
0065D9EB > 8D55 C4 LEA EDX,DWORD PTR SS:[EBP-3C]
0065D9EE . 8B45 E8 MOV EAX,DWORD PTR SS:[EBP-18]
0065D9F1 . E8 3ECADAFF CALL schoolad.0040A434
0065D9F6 . 8B45 C4 MOV EAX,DWORD PTR SS:[EBP-3C]
0065D9F9 . E8 A6CEDAFF CALL schoolad.0040A8A4＝＝＝＞此为计算已使用次数的CALL，其中将已使用次数的代码赋给EAX。进去把EAX的值改掉！
0065D9FE . 3D 2C1A0000 CMP EAX,1A2C＝＝＝＝＞由于上面的CALL已改，所以此处的EXA永远为19CC。
0065DA03 . 7E 38 JLE SHORT schoolad.0065DA3B＝＝＝＝＞此处改为JLE SHORT schoolad.0065DA3D。因为0065DA3B处为XOR　EAX，EAX。
0065DA05 . 8BC6 MOV EAX,ESI
0065DA07 . E8 3058DAFF CALL schoolad.0040323C
0065DA0C . 807D FB 00 CMP BYTE PTR SS:[EBP-5],0
0065DA10 . 74 18 JE SHORT schoolad.0065DA2A
0065DA12 . 6A 00 PUSH 0
0065DA14 . B9 4CDB6500 MOV ECX,schoolad.0065DB4C
0065DA19 . BA 58DB6500 MOV EDX,schoolad.0065DB58
0065DA1E . A1 78686600 MOV EAX,DWORD PTR DS:[666878]
0065DA23 . 8B00 MOV EAX,DWORD PTR DS:[EAX]
0065DA25 . E8 66A9DFFF CALL schoolad.00458390
0065DA2A > 33C0 XOR EAX,EAX
0065DA2C . 8983 14020000 MOV DWORD PTR DS:[EBX+214],EAX
0065DA32 . C645 FA 00 MOV BYTE PTR SS:[EBP-6],0
0065DA36 . E9 CE000000 JMP schoolad.0065DB09
0065DA3B . 33C0 XOR EAX,EAX
0065DA3D > 8983 14020000 MOV DWORD PTR DS:[EBX+214],EAX＝＝＝＝＞此处与0065D9DC处的作用一样都是写入注册标志。移入的值如果为0，则表示未注册，非0则表示已注册。所以上面要改为跳到此处，将19CC移入注册标志处。
0065DA43 . 8D55 C0 LEA EDX,DWORD PTR SS:[EBP-40]
0065DA46 . 8B45 E0 MOV EAX,DWORD PTR SS:[EBP-20]
0065DA49 . E8 E6C9DAFF CALL schoolad.0040A434
0065DA4E . 8B55 C0 MOV EDX,DWORD PTR SS:[EBP-40]
0065DA51 . 8D83 0C020000 LEA EAX,DWORD PTR DS:[EBX+20C]
0065DA57 . E8 5C66DAFF CALL schoolad.004040B8
0065DA5C . 8D55 BC LEA EDX,DWORD PTR SS:[EBP-44]
0065DA5F . 8B45 E4 MOV EAX,DWORD PTR SS:[EBP-1C]
0065DA62 . E8 CDC9DAFF CALL schoolad.0040A434
0065DA67 . 8B55 BC MOV EDX,DWORD PTR SS:[EBP-44]
0065DA6A . 8D83 10020000 LEA EAX,DWORD PTR DS:[EBX+210]
0065DA70 . E8 4366DAFF CALL schoolad.004040B8
0065DA75 . C645 FA 01 MOV BYTE PTR SS:[EBP-6],1
0065DA79 . 8D55 B8 LEA EDX,DWORD PTR SS:[EBP-48]
0065DA7C . 8B45 E8 MOV EAX,DWORD PTR SS:[EBP-18]
0065DA7F . E8 B0C9DAFF CALL schoolad.0040A434
0065DA84 . 8B45 B8 MOV EAX,DWORD PTR SS:[EBP-48]
0065DA87 . E8 18CEDAFF CALL schoolad.0040A8A4＝＝＝＝＞与上面一样为计算已使用次数的CALL。
0065DA8C . 8BF8 MOV EDI,EAX
0065DA8E . 47 INC EDI
0065DA8F . 8BC6 MOV EAX,ESI
0065DA91 . 8B10 MOV EDX,DWORD PTR DS:[EAX]
0065DA93 . FF52 40 CALL NEAR DWORD PTR DS:[EDX+40]
0065DA96 . FF75 EC PUSH DWORD PTR SS:[EBP-14]
0065DA99 . 8D55 B4 LEA EDX,DWORD PTR SS:[EBP-4C]
0065DA9C . 8BC7 MOV EAX,EDI
0065DA9E . E8 9DCDDAFF CALL schoolad.0040A840
0065DAA3 . FF75 B4 PUSH DWORD PTR SS:[EBP-4C]
0065DAA6 . FF75 E4 PUSH DWORD PTR SS:[EBP-1C]
0065DAA9 . FF75 E0 PUSH DWORD PTR SS:[EBP-20]
0065DAAC . 8D45 F4 LEA EAX,DWORD PTR SS:[EBP-C]
0065DAAF . BA 04000000 MOV EDX,4
0065DAB4 . E8 EB68DAFF CALL schoolad.004043A4
0065DAB9 . 8B83 24020000 MOV EAX,DWORD PTR DS:[EBX+224]
0065DABF . 50 PUSH EAX
0065DAC0 . 8B83 28020000 MOV EAX,DWORD PTR DS:[EBX+228]
0065DAC6 . 50 PUSH EAX
0065DAC7 . 8D45 B0 LEA EAX,DWORD PTR SS:[EBP-50]
0065DACA . 50 PUSH EAX
0065DACB . 8B8B 20020000 MOV ECX,DWORD PTR DS:[EBX+220]
0065DAD1 . 8B55 F4 MOV EDX,DWORD PTR SS:[EBP-C]
0065DAD4 . 8BC3 MOV EAX,EBX
0065DAD6 . E8 6D100000 CALL schoolad.0065EB48
0065DADB . 8B55 B0 MOV EDX,DWORD PTR SS:[EBP-50]
0065DADE . 8BC6 MOV EAX,ESI
0065DAE0 . 8B08 MOV ECX,DWORD PTR DS:[EAX]
0065DAE2 . FF51 34 CALL NEAR DWORD PTR DS:[ECX+34]
0065DAE5 . 8D45 AC LEA EAX,DWORD PTR SS:[EBP-54]
0065DAE8 . B9 C0DB6500 MOV ECX,schoolad.0065DBC0 ; ASCII "reginfo.sys"
0065DAED . 8B93 14010000 MOV EDX,DWORD PTR DS:[EBX+114]
0065DAF3 . E8 3868DAFF CALL schoolad.00404330
0065DAF8 . 8B55 AC MOV EDX,DWORD PTR SS:[EBP-54]
0065DAFB . 8BC6 MOV EAX,ESI
0065DAFD . 8B08 MOV ECX,DWORD PTR DS:[EAX]
0065DAFF . FF51 64 CALL NEAR DWORD PTR DS:[ECX+64]
0065DB02 . 8BC6 MOV EAX,ESI
0065DB04 . E8 3357DAFF CALL schoolad.0040323C

三、进入 CALL schoolad.0040A8A4：

0040A8A4 /$ 53 PUSH EBX
0040A8A5 |. 56 PUSH ESI
0040A8A6 |. 83C4 F4 ADD ESP,-0C
0040A8A9 8BD8 MOV EBX,EAX
0040A8AB 8BD4 MOV EDX,ESP
0040A8AD 8BC3 MOV EAX,EBX
0040A8AF |. E8 0C86FFFF CALL schoolad.00402EC0
0040A8B4 8BF0 MOV ESI,EAX＝＝＝＞此处EAX为已使用次数的代码，此处改为19CC（也可以是别的值）
0040A8B6 833C24 00 CMP DWORD PTR SS:[ESP],0
0040A8BA |. 74 19 JE SHORT schoolad.0040A8D5
0040A8BC |. 895C24 04 MOV DWORD PTR SS:[ESP+4],EBX
0040A8C0 |. C64424 08 0B MOV BYTE PTR SS:[ESP+8],0B
0040A8C5 |. 8D5424 04 LEA EDX,DWORD PTR SS:[ESP+4]
0040A8C9 |. A1 D4646600 MOV EAX,DWORD PTR DS:[6664D4]
0040A8CE |. 33C9 XOR ECX,ECX
0040A8D0 |. E8 17F8FFFF CALL schoolad.0040A0EC
0040A8D5 |> 8BC6 MOV EAX,ESI＝＝＝＞已使用次数的代码移入EAX，此处ESI的值已改为19CC。
0040A8D7 |. 83C4 0C ADD ESP,0C
0040A8DA |. 5E POP ESI
0040A8DB |. 5B POP EBX
0040A8DC \. C3 RETN


四、还有一处要改动。

:0064CD58 648920 mov dword ptr fs:[eax], esp
:0064CD5B A1646B6600 mov eax, dword ptr [00666B64]
:0064CD60 8B00 mov eax, dword ptr [eax]
:0064CD62 83B81402000003 cmp dword ptr [eax+00000214],00000003＝＝＝＞此处［EAX＋214］由于已改为19CC，所以肯定不等。
:0064CD69 7416 je 0064CD81＝＝＝＞此处一定要跳。改为JMP。
:0064CD6B A198636600 mov eax, dword ptr [00666398]
:0064CD70 8B00 mov eax, dword ptr [eax]

* Possible StringData Ref from Code Obj ->"只有简体中文专业版才提供此功能，请与作者联系"
->"注册简体中文专业版"
|
:0064CD72 BA5CCF6400 mov edx, 0064CF5C
:0064CD77 E818BCF8FF call 005D8994
:0064CD7C E9A9010000 jmp 0064CF2A

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0064CD69(C)

0064CD81 |> 8D86 14030000 LEA EAX,DWORD PTR DS:[ESI+314]
0064CD87 |. E8 D872DBFF CALL ccc.00404064
0064CD8C |. 8B86 E4020000 MOV EAX,DWORD PTR DS:[ESI+2E4]
0064CD92 |. 66:BB ECFF MOV BX,0FFEC
0064CD96 |. E8 7D66DBFF CALL ccc.00403418
0064CD9B |. 8B86 EC020000 MOV EAX,DWORD PTR DS:[ESI+2EC]


至此，已完全破解。


如果想找KEY文件内容可以从下面代码处追一下：


0065DB0C |. 59 POP ECX
0065DB0D |. 59 POP ECX
0065DB0E |. 64:8910 MOV DWORD PTR FS:[EAX],EDX
0065DB11 |. 68 40DB6500 PUSH schoolad.0065DB40
0065DB16 |> 8D45 AC LEA EAX,DWORD PTR SS:[EBP-54]
0065DB19 |. BA 0B000000 MOV EDX,0B
0065DB1E |. E8 6565DAFF CALL schoolad.00404088＝＝＝＝＞此处将注册文件的内容移入EDX。其中5EE13C为无效注册文件提示处。
0065DB23 |. 8D45 E0 LEA EAX,DWORD PTR SS:[EBP-20]
0065DB26 |. BA 06000000 MOV EDX,6
0065DB2B |. E8 5865DAFF CALL schoolad.00404088
0065DB30 |. 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4]
0065DB33 |. E8 2C65DAFF CALL schoolad.00404064
0065DB38 \. C3 RETN

　　　　
　　　　
　　　　　
　　　　
　　　　
　　　　　

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论

查看所有0条评论>>

发表评论

我来说两句...

提交评论