=82、The Bologna Pony Express v2.25 破解法 ============================= 以下称此软体为BPE... 1.先设定好BPE...上线...执行BPE...并且抓图抓至50个... 就会出现限制的视窗啦!!! 然後离线...省钱钱咩... 再试著抓一次(按BPE的Find Now键)...限制视窗就跑出来啦... 先按下ok...关掉限制视窗... 2.Ctrl-D 切入S-ICE... 3.下bpx postmessage指令... 我为啥知道这个限制视窗是用postmessage这个API来执行显示的... 因为我有试嘛...试很多开窗...显示讯息的API...才试出来的... 4.按F5切回BPE...按Find Now键... 5.S-ICE在此拦下: USER!POSTMESSAGE XXXX:0001 MOV BX,SP XXXX:0003 CMP WORD PTR SS:[BX+0C],00 6.然後 BD * 把中断点先暂停... 一直按F12....跳回BPE领空(BPE主程式模组)... 此时...小心慢慢按F12...一直到跳出S-ICE并显示限制视窗为止... 按下OK键...又回到S-ICE... 可看到如下的程式码: XXXX:0043424D CMP WORD PTR [0044D050],19 XXXX:00434255 JLE 0043426A ;若[0044D050]的资料小於等於19H 则跳到0043426A XXXX:00434257 CALL 00446A70 ;限制视窗...死翘翘的地方... XXXX:0043425C MOV WORD PTR [0044D030],FFFF ;S-ICE在此拦下... XXXX:00434265 JMP 0043482D XXXX:0043426A MOV EDX,[EBP+FFFFFF3C] 大胆推测一下...在XXXX:00434255 JLE 0043426A设断... 重新TRACE一次...拦下後...R IP...将IP改成0043426A... 嘿嘿...限制视窗不见了...而且程式处於连线状态... 嘿嘿...成功了吗???...还得真正连线试试看... PS:其实这里的19H(等於10进位的25)... 你要是自己往下追...你就会知道...为啥啦... 25*2=50...自己追追看...:P 7.先用工具(EX:ULTRAEDIT)将XXXX:00434255 JLE 0043426A 的机械码改成JMP 0043426A... 然後连线抓图...嘿嘿...发生啥事... 只抓了一锅图就出现限制视窗... 所以还有暗桩... 先按OK...关掉限制视窗...CTRL-D 切回S-ICE... 一样用BPX POSTMESSAGE...抓图...拦下... 一直F12到BPE的领空...换一直F10... 你会回到XXXX:0043424D CMP WORD PTR [0044D050],19 然後就要抓改[0044D050]的要害罗... BPM XXXX:YYYYYYYY ([0044D050]的位址)... 然後慢慢下G指令... 直到如下: XXXX:0044426E MOVSX EAX,WORD PTR [0045D050] XXXX:00444275 MOV [EBO+FFFFFF08],EAX 这两行使[EBO+FFFFFF08]=[0045D050] XXXX:0044427B MOV DWORD PTR [EBP-04],0000004D XXXX:00444282 MOV ECX,[EBP+FFFFFF08] 将[EBP+FFFFFF08]的值搬到ECX... XXXX:00444288 ADD ECX,01 ;嘿嘿...将ECX加一... XXXX:0044428B MOV [EBP+FFFFFF08],ECX ;加一後在存回去 所以我们得转移目标啦... BPM AAAA:BBBBBBBB ([EBP+FFFFFF08]的位址) 8.设断後...开始下G指令...慢慢来喔... 直到如下: XXXX:00444428 CMP DWORD PTR [EBP+FFFFFF08],31 ;嘿嘿...比对核心罗... 31H=49(10进位)... XXXX:0044442F JLE 0044444D ;若是[EBP+FFFFFF08]中的资料 比31H小就跳到0044444D... XXXX:00444431 MOV DWORD PTR [EBP-04],00000053 XXXX:00444438 CALL 00446A70 ;死亡的界线 !!! XXXX:0044443D MOV DWORD PTR [EBP-04],00000054 XXXX:00444444 NOV WORD PTR [EBP-04],FFFF XXXX:0044444D MOV DWORD PTR [EBP-04],00000056 所以再将XXXX:0044442F JLE 0044444D改成JMP 0044444D 就收工啦 !!! 9.再次整理一遍: 软体名: The Bologna Pony Express v2.25 修改码: 改 BolognaPonyT.exe FIND: 7E 13 E8 14 28 01 00 EDIT: EB -- -- -- -- -- -- FIND: 7E 1C C7 45 FC 53 00 00 00 EDIT: EB -- -- -- -- -- -- -- -- --: 表不用修改之处