轻松暴破键盘记录器 7.1

w406511542

【文章标题】: 轻松暴破键盘记录器 7.1
【文章作者】: 梦湾（云飘飘）
【软件名称】: 键盘记录器 7.1（2008年1月10日更新之版本）
【软件大小】: 142KB
【下载地址】: http://www.newhua.com/soft/50911.htm
【加壳方式】: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
【保护方式】: 加壳、一机一码
【编写语言】: Microsoft Visual C++ 6.0
【使用工具】: OD
【操作平台】: Win2000
【软件介绍】: 本软件能够将计算机用户的键盘输入及汉字输入全部记
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
武汉的天空，飘着漫天雪花。办公室中，偶斗志昂扬，因为多年来难得如此洋洋洒洒！

言归正传，开始今天的破解之旅。

运行本目录下的keyboardlog.exe，然后点"开起监控"。一分钟之后，冒出附后的烦人窗口！

以后每隔一分钟，该窗口会如期而至，显示在你的桌面中央。难道要掏Money注册？我可不愿意，再说此软件做得也不咋的。
遂自己动手，搞定算了。

UPX壳乃一弱壳，采用ESP定律可以轻松脱掉，这里不赘述。程序keyboardlog.exe不用管了，我们只需要狠狠地对monitor.exe
开刀就行。

OD载入，找到注册码提示处，分析之。可是偶分析不出来，可能是MD5加密。

算了。按F9让程序运行起来，一分钟之后，NAG窗口如窗外的雪花飘然而至。此时，在OD中按F12，让程序暂停。然后按
ALT+K打开堆栈窗口。

堆栈窗口显示引用:
地址 堆栈 程序过程 / 参数 调用来自 结构
0012FC70 77DF5FA8 USER32.77DF154A USER32.77DF5FA3 0012FC90
0012FC94 00420EFE USER32.GetMessageA monitor.00420EF8 0012FC90
0012FC98 004383A8 pMsg = monitor.004383A8
0012FC9C 00000000 hWnd = NULL
0012FCA0 00000000 MsgFilterMin = 0
0012FCA4 00000000 MsgFilterMax = 0
0012FCB0 0041F40D 包含 monitor.00420EFE monitor.0041F40A
0012FCD4 0041CA74 monitor.0041F333 monitor.0041CA6F
0012FCD8 00000004 Arg1 = 00000004
在monitor.0041CA6F处点右键，选择【显式调用】（Show Call），来到这里：复制内容到剪贴板代码:
0041CA6F . E8 BF280000 CALL monitor.0041F333 ; \弹出警告窗
0041CA74 > 397E 1C CMP DWORD PTR DS:[ESI+1C],EDI
0041CA77 . 74 2D JE SHORT monitor.0041CAA6
向上找找跳转：复制内容到剪贴板代码:
0041CA4B . E8 5FFCFFFF CALL monitor.0041C6AF
0041CA50 . 3BC7 CMP EAX,EDI
0041CA52 . 74 52 JE SHORT monitor.0041CAA6 ; 改JMP即OK
0041CA54 . F646 24 10 TEST BYTE PTR DS:[ESI+24],10
0041CA58 . 74 1A JE SHORT monitor.0041CA74 ; 改JMP即OK
0041CA5A . 6A 04 PUSH 4
0041CA5C . 8BCE MOV ECX,ESI
0041CA5E . 5B POP EBX
0041CA5F . E8 032F0000 CALL monitor.0041F967
0041CA64 . F6C4 01 TEST AH,1
0041CA67 . 74 03 JE SHORT monitor.0041CA6C
0041CA69 . 6A 05 PUSH 5
0041CA6B . 5B POP EBX
0041CA6C > 53 PUSH EBX ; /Arg1
0041CA6D . 8BCE MOV ECX,ESI ; |
0041CA6F . E8 BF280000 CALL monitor.0041F333 ; \弹出警告窗
0041CA74 > 397E 1C CMP DWORD PTR DS:[ESI+1C],EDI
0041CA77 . 74 2D JE SHORT monitor.0041CAA6
0041CA79 . 68 97000000 PUSH 97 ; /Arg6 = 00000097
0041CA7E . 57 PUSH EDI ; |Arg5
0041CA7F . 57 PUSH EDI ; |Arg4
0041CA80 . 57 PUSH EDI ; |Arg3
0041CA81 . 57 PUSH EDI ; |Arg2
0041CA82 . 57 PUSH EDI ; |Arg1
0041CA83 . 8BCE MOV ECX,ESI ; |
0041CA85 . E8 C32F0000 CALL monitor.0041FA4D ; \monitor.0041FA4D
0041CA8A . EB 1A JMP SHORT monitor.0041CAA6
0041CA8C . 8B4D DC MOV ECX,DWORD PTR SS:[EBP-24]
0041CA8F . E8 CE4C0000 CALL monitor.00421762
0041CA94 . 8B45 E4 MOV EAX,DWORD PTR SS:[EBP-1C]
0041CA97 . 8348 2C FF OR DWORD PTR DS:[EAX+2C],FFFFFFFF
0041CA9B . B8 A1CA4100 MOV EAX,monitor.0041CAA1
0041CAA0 . C3 RETN
0041CAA1 . 8B75 E4 MOV ESI,DWORD PTR SS:[EBP-1C]
0041CAA4 . 33FF XOR EDI,EDI
0041CAA6 > 834D FC FF OR DWORD PTR SS:[EBP-4],FFFFFFFF
0041CAAA . 397D E0 CMP DWORD PTR SS:[EBP-20],EDI
0041CAAD . 74 0B JE SHORT monitor.0041CABA
发现0041CA52和0041CA58均可跳过警告窗。在此两处随便选择一处暴破即可。

暴破后，试运行，爽哉。NAG窗口不再来，整个世界清净了，呵呵~~


--------------------------------------------------------------------------------
【经验总结】
对付NAG窗口，原来采用【F12】【ALT+K】超级搭档，如此令人感觉爽！