关于 Wise Care 365 专业版分析方法

Mrack · 发表于 2014-10-5 15:35

本帖最后由 Mrack 于 2014-10-5 15:37 编辑

【小菜的方法分享给大家。大牛勿笑我

】

先运行程序，随便输入提示错误
QQ截图20141005144759.jpg

我们用回溯法。来到这。
QQ截图20141005144759.jpg

但是这里并不重要。往下来到这。
QQ截图20141005145134.jpg

这个地方才是逆向的关键。
006672DD  |.  8B45 F8    mov eax,[local.2]
006672E0  |.  E8 CFDAE3FF call 004A4DB4    跟入
006672E5  |.  84C0       test al,al                   比较al 是否为0，为0注册失败，1成功
006672E7  |.  0F84 F6000000 je 006673E3
006672ED  |.  8B45 FC    mov eax,[local.1]
006672F0  |.  85C0       test eax,eax

来到这
004A4E15  |.  E8 5EB1FFFF call 0049FF78
004A4E1A  |.  84C0       test al,al
004A4E1C    74 04       je short 004A4E22 这个跳不跳就成功
004A4E1E  |.  B3 01       mov bl,0x1                这里为什么给bl赋值？是因为下面mov eax,ebx这一句。
004A4E20  |.  EB 02       jmp short 004A4E24
继续跟入这个 call 0049FF78
call 0049FF94 里面还有这样一句继续跟入。
来到快要RETN的地方
004A00D3  |.  84DB       |test bl,bl
004A00D5  |.  75 09       |jnz short 004A00E0
004A00D7  |.  83C7 02    |add edi,0x2
004A00DA  |.  66:833F 00 |cmp word ptr ds:[edi],0x0
004A00DE  |.^ 75 E8       \jnz short 004A00C8
004A00E0    8BC3       mov eax,ebx       这里原来就是祸害。判断是否成功。所以我们给他 INC EAX
004A00E2  |.  5F          pop edi
004A00E3  |.  5E          pop esi
004A00E4  |.  5B          pop ebx
004A00E5  |.  59          pop ecx
004A00E6  |.  59          pop ecx
004A00E7  |.  5D          pop ebp
004A00E8  \.  C3          retn
这时候我们会输入31位注册码会提示成功

QQ截图20141005144759.jpg

不过重启后就还原原来了
我们不如看看字符串。
1.
Registered User QQ截图20141005144759.jpg

je short 007365F7 >>JMP short 007365F7
2.
OK
QQ截图20141005150402.jpg

往下翻
有两个JG 这是判断是否过期的. 全部JMP
0072FF2E    /7F 75       jg short 0072FFA5
0072FF30 . |85DB       test ebx,ebx
0072FF32 . |7E 71       jle short 0072FFA5
0072FF34 . |B2 01       mov dl,0x1
0072FF36 . |8B45 E8    mov eax,dword ptr ss:[ebp-0x18]
0072FF39 . |E8 22640000 call 00736360
0072FF3E . |33D2       xor edx,edx
0072FF40 . |8B45 E8    mov eax,dword ptr ss:[ebp-0x18]
0072FF43 . |E8 84440000 call 007343CC
0072FF48 . |A1 242F7500 mov eax,dword ptr ds:[0x752F24]       ;  穑}
0072FF4D . |8338 00    cmp dword ptr ds:[eax],0x0
0072FF50 . |75 17       jnz short 0072FF69
0072FF52 . |8B4D E8    mov ecx,dword ptr ss:[ebp-0x18]
0072FF55 . |B2 01       mov dl,0x1
0072FF57 . |A1 A0D76500 mov eax,dword ptr ds:[0x65D7A0]       ;  |骋
0072FF5C . |E8 37DED5FF call 0048DD98
0072FF61 . |8B15 242F7500 mov edx,dword ptr ds:[0x752F24]       ;  穑}
0072FF67 . |8902       mov dword ptr ds:[edx],eax
0072FF69 > |A1 242F7500 mov eax,dword ptr ds:[0x752F24]       ;  穑}
0072FF6E . |8B00       mov eax,dword ptr ds:[eax]
0072FF70 . |8998 B4030000 mov dword ptr ds:[eax+0x3B4],ebx
0072FF76 . |A1 242F7500 mov eax,dword ptr ds:[0x752F24]       ;  穑}
0072FF7B . |8B00       mov eax,dword ptr ds:[eax]
0072FF7D . |8B10       mov edx,dword ptr ds:[eax]
0072FF7F . |FF92 00010000 call dword ptr ds:[edx+0x100]
0072FF85 . |A1 242F7500 mov eax,dword ptr ds:[0x752F24]       ;  穑}
0072FF8A . |8B00       mov eax,dword ptr ds:[eax]
0072FF8C . |8B15 242F7500 mov edx,dword ptr ds:[0x752F24]       ;  穑}
0072FF92 . |33C9       xor ecx,ecx
0072FF94 . |890A       mov dword ptr ds:[edx],ecx
0072FF96 . |E8 A546CDFF call 00404640
0072FF9B . |8B45 E8    mov eax,dword ptr ss:[ebp-0x18]
0072FF9E . |E8 216F0000 call 00736EC4
0072FFA3 . |EB 7F       jmp short 00730024
0072FFA5 > \85DB       test ebx,ebx
0072FFA7    7F 71       jg short 0073001A
3.
SOFTWARE\Wow6432Node\WiseCleaner\WiseCare365

QQ截图20141005150402.jpg

看字面意思就知道了吧。2011-01-01用这个加注册码所解出的时间就可以得到有效时间
00735C72 /75 0F jnz short 00735C83
如果没跳了下面jmp就跳过了这个部分，就未注册，所以JMP

然后右键保存试试。
QQ截图20141005153050.png

打开后依然显示注册成功，所有功能已解锁。

源程序下载地址：http://59.37.80.22/softdl.360tpc ... seCare365_3.2.5.exe

WyM · 发表于 2014-10-5 15:42

我是沙发

小强 · 发表于 2014-10-5 15:44

我来支持一下

Gnosis · 发表于 2014-10-5 15:47

支持原创学到了多谢楼主

Leo · 发表于 2014-10-5 15:48

膜拜一下

Shark恒 · 发表于 2014-10-5 16:06

来啊来啊，学习了！

AoQc · 发表于 2014-10-5 16:27

酱油党路过

大鸿 · 发表于 2014-10-5 16:33

学习了,希望楼主多发精品好贴啦!

海东 · 发表于 2014-10-5 21:33

学习了！！！！辛苦！！

langren1353 · 发表于 2014-10-5 22:10

我只能远远的膜拜了，支持下

		自动登录	找回密码
密码			立即注册

[原创逆向图文] 关于 Wise Care 365 专业版分析方法

评分

评分

浏览过的版块