|
发表于 2010-10-10 16:43:59
|显示全部楼层
本帖最后由 圣灵 于 2010-10-10 18:38 编辑
我用了 管家婆 新版私人处理器 发现不错 其他的处理 都蓝屏 看了一下 发现居然有次数限制 而且用的 是很BT的商业保护壳 找到她使用的 保护软件 看里一下 头大.....壳变态
只好 用别的方法 第一 还原精灵 已经试验成功 还原以后 能用 显然 他是 文件或者注册表 保存使用的记录
我这是网吧 .沙盘就不能用了 要不我第一个用沙盘 还有影子系统也不能用 555555
于是我 对比下 注册表 发现使用软件 写下的 内存变化
增加键:3
----------------------------------
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\hiv
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Classes\Interface\{F23CE802-F518-F382-FB3E-FE3B494A1A82}
HKU\S-1-5-21-1004336348-1606980848-1801674531-500_Classes\Interface\{F23CE802-F518-F382-FB3E-FE3B494A1A82}
----------------------------------
增加值:12
----------------------------------
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU\c: 72 00 65 00 67 00 73 00 68 00 6F 00 74 00 2E 00 65 00 78 00 65 00 00 00 45 00 3A 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 5C 00 64 00 65 00 73 00 6B 00 74 00 6F 00 70 00 00 00
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*\i: "E:\system\desktop\111.hiv"
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\hiv\a: "E:\system\desktop\111.hiv"
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\hiv\MRUList: "a"
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\@shell32.dll,-21791: "我的视频"
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\@shell32.dll,-21779: "图片收藏"
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\@shell32.dll,-21790: "我的音乐"
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\E:\system\desktop\新版私人处理器.exe: "QQ:277278621"
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\@C:\WINDOWS\system32\SHELL32.dll,-22914: "包含信件,报告和其它文档以及文件。"
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\E:\system\desktop\新版私人处理器.exe : "QQ:910061001"
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Classes\Interface\{F23CE802-F518-F382-FB3E-FE3B494A1A82}\: "9E8TQ2HEsfS15+cVfuy5Bs4hZwtUHEbi/ngQiZGc3NWOx+V2jgeX8hpICUNhxKf0refFFWXsYgX0Gl0LVBw84vZ47ol4nIXUjcfldo4Hl/IS+ob6FT4PkA9ZusD2xFO/"
HKU\S-1-5-21-1004336348-1606980848-1801674531-500_Classes\Interface\{F23CE802-F518-F382-FB3E-FE3B494A1A82}\: "9E8TQ2HEsfS15+cVfuy5Bs4hZwtUHEbi/ngQiZGc3NWOx+V2jgeX8hpICUNhxKf0refFFWXsYgX0Gl0LVBw84vZ47ol4nIXUjcfldo4Hl/IS+ob6FT4PkA9ZusD2xFO/"
----------------------------------
修改值:9 运行第二次以后 软件修改注册表的 对比
----------------------------------
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed: 5F 9F 31 BE 20 DA CC 11 2D A8 28 A9 2B BC A4 5C 3F 46 C2 AA 72 AE 89 FA F1 D7 C4 E7 28 07 9F 82 24 F5 34 F4 1B EA 99 B9 C8 B3 57 4C 38 C3 FB 4C A0 31 52 8E 0E F9 FD BA 43 DE 75 E3 16 33 E7 3D C6 F8 17 43 8D 1F CF F5 60 15 2A 55 C8 E0 7B 9E
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed: BE 2A 0B F2 31 E2 99 EB DB 84 F1 9C F7 0A 8B 6E 4D 00 E3 11 A6 47 D1 BA A8 97 FE C6 1D 33 47 92 EB 4D 1B 9D 73 F3 0B 18 F7 64 86 6C A0 49 69 1D 63 5E CF 7B 3A 14 6F AF 5A 47 4C 89 18 F6 D3 D5 49 7A C7 D0 52 30 24 B0 42 76 70 3F F9 21 85 24
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU\MRUList: "ba"
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU\MRUList: "cba"
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*\MRUList: "hgfdecba"
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*\MRUList: "ihgfdecba"
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6E28339B-7C6E-47B6-AEB2-46BA53782379}\iexplore\Count: 0x0000003D
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6E28339B-7C6E-47B6-AEB2-46BA53782379}\iexplore\Count: 0x0000003E
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6E28339B-7C6E-47B6-AEB2-46BA53782379}\iexplore\Time: DA 07 0A 00 00 00 0A 00 08 00 20 00 30 00 4B 03
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6E28339B-7C6E-47B6-AEB2-46BA53782379}\iexplore\Time: DA 07 0A 00 00 00 0A 00 08 00 22 00 18 00 EE 02
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{992B79F3-7E84-4C58-AD30-0B72034EC192}\iexplore\Count: 0x0000002F
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{992B79F3-7E84-4C58-AD30-0B72034EC192}\iexplore\Count: 0x00000030
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{992B79F3-7E84-4C58-AD30-0B72034EC192}\iexplore\Time: DA 07 0A 00 00 00 0A 00 08 00 20 00 30 00 4B 03
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{992B79F3-7E84-4C58-AD30-0B72034EC192}\iexplore\Time: DA 07 0A 00 00 00 0A 00 08 00 22 00 18 00 EE 02
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\ShellNoRoam\BagMRU\MRUListEx: 00 00 00 00 05 00 00 00 04 00 00 00 03 00 00 00 01 00 00 00 02 00 00 00 FF FF FF FF
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\Software\Microsoft\Windows\ShellNoRoam\BagMRU\MRUListEx: 02 00 00 00 00 00 00 00 05 00 00 00 04 00 00 00 03 00 00 00 01 00 00 00 FF FF FF FF
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\SessionInformation\ProgramCount: 0x00000004
HKU\S-1-5-21-1004336348-1606980848-1801674531-500\SessionInformation\ProgramCount: 0x00000005
----------------------------------
文件修改:1
----------------------------------
C:\WINDOWS\system32\config\software.LOG
----------------------------------
总计:25
----------------------------------
汗死 就是没有找到明文的修改 ..不过 我已经瞄准啦
嘿嘿 还没成功 正在修改
发现一个很有趣的东西
新版私人处理器 运行以后会生成 Pass_JAVA.dll 和 Pass JAVA(内部版).key 还有 新版私人处理器.exe (这有二个空格)
DLL 应该没什么 新版私人处理器.exe (这有二个空格) 我把名字改下 去掉空格 结果能运行 不过 还是使用次数过期 但是 运行的时候不会打开文档
Pass JAVA(内部版).key 哈哈 这应该就是传说中的 KEY 啦... 可惜我不懂算法 要不我就解密他 修改使用次数
另外
文件修改:2
----------------------------------
C:\WINDOWS\system32\config\software.LOG //这个一直在运行 无法删除 ...正在处理... 失败
C:\WINDOWS\system32\iexp_log.txt //这个可以删除
新版私人处理器crack.rar
(617.75 KB, 下载次数: 19)
|
|