好久没有发新帖了,一直在研究C#编程开发和逆向,闲来无事玩玩游戏,也开发了两个游戏辅助软件,偶然翻库存找到了一个古董级的辅助软件,每次打开都会弹网页,所以就逆向了一下,经过不懈的努力终于是搞定了,所以将成果分享.
注意,这个软件是某人PJ版,但是加了调料了(懂的都懂),VirusTotal检测其中41个引擎显示有威胁(经测试对系统无威胁)
检测报告地址:https://www.virustotal.com/gui/file/283e77fda6848b42a9ce7e570b6558c34630ccdfaee6648285eed39e4e9a6e6f
由于技术能力有限,没办法清除恶意代码,所以希望各位大神展示自己的一技之长,接力完成净化任务,在此谢过.
使用软件:
1.Detect It Easy v3.06(查壳,PE结构分析)
2.2.IDA PRO 7.6汉化版
3.x64dbg-2022.11.26-zh_Chs
4.PEExplorer_v1.99.6.1400_Chs(PE结构分析,资源修改)
软件下载地址:(base64)
aHR0cHM6Ly93d3cubmV3YXNwLmNvbS9mdXpodS82ODg4Ni5odG1s
1.查壳
查壳
区段信息
区段信息
区段信息
总结:软件本身显示无壳,但是两个区段显示已加壳()希望大神能解答一下原因,不胜感激!),但是软件入口点明显异常,且包含附加区段(作用不详).
2.IDA PRO修改方法(入门级)
载入
直接查找字符串
CTRL+F打开搜索框,然后输入弹出网页的关键字
先分析第一个连接(经修改测试无效)
点击地址
结构图
F5转换为伪代码
更改汇编代码视图模式
汇编代码
继续分析第二个链接
点击跳转到目标代码
定位关键代码
标记跳转位置
分析代码行为,确定修改内容
汇编方式修改代码
修改到目标地址
第二处也一并修改
保存修改后的文件
根据需要选择是否需要备份文件
退出后可以选择不保存调试数据
总结:IDA PRO的伪代码个人比较喜欢,通过汇编方式修改跳转来跳过弹网页代码.
3.x64dbg修改方法(入门级)
查找字符串
直接定位第二个链接的代码为止
选择网页弹窗部分代码,直接NOP掉
保存修改后的文件
保存的时候记得加上扩展名哦
总结:OD的批量NOP功能是真心好用
4.修改界面
这里我就不上图了,大家可以自定义调整大小和按钮布局,删除控件目前由于个人技术有限还不能实现,所以知识隐藏了主界面的帮助按钮.
在此希望各位大神能出一个修改入口点和删除附加区段的教程,让我们这帮小白也学习学习,感谢!
最后总结:
综合技术越强,可以做的事情越多,这个软件的破解原理到现在我也没弄懂,不过经过测试如果在跳转的地方开始一直NOP到跳转的位置软件就显示未注册,具体也搞不清楚原因
个人技术能力有限,对PE结构和汇编结构了解少之又少,望各位前辈推荐一些资料或者教程,补充一下对PE结构原理和修改方法的知识.
免责声明:本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除!
更新日志
- 张梦弘《大城小爱HQ》头版限量编号[低速原抓WAV+CUE]
- 张敬轩《MY 1ST COLLECTION》2CD[WAV+CUE][1.7G]
- 张玮伽《夜归人HQⅡ》2024头版限量编号[WAV+CUE][523M]
- 证声音乐图书馆《夏至 爵士境地》[320K/MP3][70.37MB]
- 孙露《同名专辑》限量1:1母盘直刻[低速原抓WAV+CUE]
- 【宝丽金唱片】群星《鼓舞飞扬》WAV+CUE
- 莫扎特弗雷德沃夏克肖斯塔科维奇《钢琴五重奏》(DG24-96)FLAC
- 证声音乐图书馆《夏至 爵士境地》[FLAC/分轨][360.16MB]
- 证声音乐图书馆《日落琴声 x 弦乐》[320K/MP3][71.2MB]
- 证声音乐图书馆《日落琴声 x 弦乐》[FLAC/分轨][342.58MB]
- 谢采妘2011《难忘的旋律(Non-StopChaCha)》马来西亚版[WAV+CUE]
- 林翠萍《听见林翠萍,记忆就会醒来》2CD[WAV+CUE]
- 木村好夫《天龍HIFI木吉他、木村好夫精选好歌》日本天龙版[WAV整轨]
- 证声音乐图书馆《日出琴声 x 民谣》[320K/MP3][53.76MB]
- 证声音乐图书馆《日出琴声 x 民谣》[FLAC/分轨][239.29MB]