有壳程序破解后打补丁,补丁运行一次后就删除
软行天下下载的软件试着玩了下,霄鹞PDF转Word助手,一个vb程序。这个程序有壳,tElock 0.98b1 -> tE!。这个壳有工具也可以手动脱壳,但是我脱完壳后打不开程序,应该是有暗桩,试了退出和取文件大小都没成功,索性就不管了。直接带壳分析,大概看了下,我没有爆破注册项,只是想使用这个程序,所以就直接釜底抽薪,爆破了它的使用功能(生成word试用版只能生成三分之一页,生成jpg图片是带有水印的)注册项的爆破我没有动。还是显示试用版,打开软件弹出注册框。我利用inline patch,apihook生成补丁文件,爆破成功、现在的问题是:点击补丁文件后程序打开了,逆向成功,功能使用没有限制,但是补丁文件自动删除了。我不可能每次打开都生成一个文件吧。大家看看怎么回事。顺便提下要是能解决脱壳后的暗桩也可以。注册项的爆破很简单我懒的弄了。总感觉没有找到最重要的位置。改的地方有点多。
我把安装包和补丁工具,以及补丁数据保存的方案已经打包了。可以用补丁工具打开看看我的方案。
https://www.52hb.com/thread-30706-1-1.html 这个程序就是专门检测安装目录下的补丁文件,有的话就删除 zz100179 发表于 2017-1-1 12:43
这个程序就是专门检测安装目录下的补丁文件,有的话就删除
分析的时候搜索字符串看到了有处地方有一个.exe和.dll。但是没找到思路。 zz100179 发表于 2017-1-1 12:43
这个程序就是专门检测安装目录下的补丁文件,有的话就删除
脱壳后的暗桩我找到了。GetModuleFileNameA利用这个函数终于找到了。 看来这100HB注定是我的啦,我刚才也测试一下,的确会删除,解决办法。打补丁的话。就用小黑的补丁就行了。选项里边有个随机补丁后缀。这样就不检测EXE文件删除了。 本帖最后由 刀口以后 于 2017-1-1 13:22 编辑
慕容吹雪 发表于 2017-1-1 13:11
看来这100HB注定是我的啦,我刚才也测试一下,的确会删除,解决办法。打补丁的话。就用小黑的补丁就行了。 ...
这个软件会自动搜索目录下的exe文件我刚才脱壳的的文件,只要运行原程序,就会删除目录下除了本程序多余的exe文件,如果我删除原程序,用脱壳后的文件逆向会提示非法。看来这软件暗桩很多啊。我先试试你的办法。小黑的补丁是哪个?你这个只是换个补丁工具啊,我的目的还是找到那个暗桩。 慕容吹雪 发表于 2017-1-1 13:11
看来这100HB注定是我的啦,我刚才也测试一下,的确会删除,解决办法。打补丁的话。就用小黑的补丁就行了。 ...
投机取巧哦的办法很多,其实我想了想。这个软件会检测目录下的文件是否完整,是根据文件名判断的,如果是多余的exe文件它会删除这些文件,应该有包含了dll文件,所以我们的补丁等文件会被删除,这个软件目录下有一个Update.EXE文件,如果是逆向文件那么这个有关升级的文件对我们来说没用,所以生成文件的时候就用这个Update。然后删除原来的Update.EXE文件,这个目的也能达到。对软件也没影响。 利用挟持补丁因为有验效去了后就可以了 谢上特征码
页:
[1]
2