爆破万能密码查看器{PassKing}
功能:
一款功能强大的密码查看破解程序。可查看Windows中以“***”显示的密码窗口中的实际内容、快速破解目前已知的各版本Access数据库密码,支持批量数据库破解。支持Windows 95/98/ME/NT/2000/XP/2003各种操作系统。您不妨下载试试^_^
程序本身加了aspack的壳,为了破解方便这里直接esp定律脱掉就行了。运行程序发现程序本身有点不厚道,修改ie主页,这是我把要修改的主页改成我的主页后的效果截图。
另外会在后台下载http://mydl2.pcnet123.cn/mecjkc.exe到ASCII “C:\wtgaste.exe”功能是什么大家自己分析吧。这里我已经把下载地址用0填充掉了。运行crack.exe是不是下载这个文件的。
图中的就是下载的文件,多个威胁,至于是什么,那就不是本文的重点了。另外肯能程序本身设计有问题,点关闭或者退出后无法正常退出,需要用任务管理器关闭。也可能是我系统问题,这个问题没有修复。注册信息保存在注册表的如下位置:
直接对RegQueryValueExA下断,这个系统用的较多,需要中断多次,在od加载所有的文件后面的第二个中断就是所需的中断了,也可以直接字符串参考,找到”RegNo”。然后对本行下断。运行程序。
关键代码如下,注释就不写了。自己看吧。
004CBF18 |. BA B8C04C00 mov edx,PassKing.004CC0B8 ; ASCII "Software\PassKing"
004CBF1D |. 8BC3 mov eax,ebx
004CBF1F |. E8 1C95F9FF call PassKing.00465440
004CBF24 |. 8D4D FC lea ecx,dword ptr ss:[ebp-4]
004CBF27 |. BA D4C04C00 mov edx,PassKing.004CC0D4 ; ASCII "RegUser"
004CBF2C |. 8BC3 mov eax,ebx
004CBF2E |. E8 F596F9FF call PassKing.00465628
004CBF33 |. 8B55 FC mov edx,dword ptr ss:[ebp-4]
004CBF36 |. B8 E0214D00 mov eax,PassKing.004D21E0
004CBF3B |. E8 F885F3FF call PassKing.00404538
004CBF40 |. 8D4D F8 lea ecx,dword ptr ss:[ebp-8]
004CBF43 |. BA E4C04C00 mov edx,PassKing.004CC0E4 ; ASCII "RegNo"
004CBF48 |. 8BC3 mov eax,ebx
004CBF4A |. E8 D996F9FF call PassKing.00465628
004CBF4F |. 8B45 F8 mov eax,dword ptr ss:[ebp-8]
004CBF52 |. 50 push eax
004CBF53 |. 8D4D F4 lea ecx,dword ptr ss:[ebp-C]
004CBF56 |. BA F4C04C00 mov edx,PassKing.004CC0F4 ; ASCII "passkingChina"
004CBF5B |. A1 E0214D00 mov eax,dword ptr ds:[4D21E0]
004CBF60 |. E8 D3E8FFFF call PassKing.004CA838
004CBF65 |. 8B55 F4 mov edx,dword ptr ss:[ebp-C]
004CBF68 |. 58 pop eax
程序是明文比较,很容易拿到注册码的。
0012FE0C 010295B8 ASCII "26B0D8CFADF1D0AA"
0012FE10 01029544 ASCII "9876543210123"
0012FE14 01021A94 ASCII "obaby"
其中那个9876543210123是第一次输入的假吗,保存在注册表中。上面的就是真的注册码了。另外找到一组可以不用输入用户名注册的注册码。
用户名留空,用注册码5D519AFB82404EE9同样可以注册成功。
程序目录下有个baidu.exe其实是百度搜霸的广告条。这个东西可以说是集流氓和下载者功能与一身啊。
就这么个东东还要60多。唉。
程序注册直接将reg.reg运行就可以注册了。
最后看下程序的功能吧。
1 comment
上面说的太仁慈了。其实这个东西就是个流氓软件,我修改后的程序修改的注册表项是:(未破解的程序可以同样修改此项来达到改回主页的目的)
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@=”\”C:\\Program Files\\Internet Explorer\\iexplore.exe\” http://www.h4ck.org.cn”
编辑将后面的http://www.h4ck.org.cn删除即可。这个流氓。今天看到频繁提示修改主页才想起的。这个软件不用也罢。实在没办法了,可以试试。