Yoo趣儿

Yoo趣儿 操作系统 Windows .net Eazfuscator.Net 2024.1版无序列号全功能补丁 ...

.net Eazfuscator.Net 2024.1版无序列号全功能补丁

查看 272|回复 10
作者:wtujoxk   
前言
首先感谢Crane.MethodHook库作者壹佰的方法和指导,后面代码部分也会使用Crane.MethodHook库作为劫持补丁进行编写
地址:https://www.nuget.org/packages/Crane.MethodHook
开整
在无序列号的情况下,使用有时间限制,并且过了时间就无法运行程序,包括加壳的程序。使用时间到期后,程序会这样:


1718249516529.png (16.77 KB, 下载次数: 3)
下载附件
2024-6-13 11:34 上传

通过分析后得知,只需要将Gapotchenko.Eazfuscator.NET.dll中的Program.Main参数劫持,当参数为 0 或者 --no-update-check时程序返回0,就能跳过检查并打开程序
if (args.Length == 0 || args[0] == "--no-update-check")
{
    return 0;
}
这个只是能打开程序,打开后还是有时间限制,那怎么办呢,我们只要hook UtcNow和Subtract即可
public static DateTime NewUtcNow()
{
         return DateTime.Parse("2000-12-30");
}
public static TimeSpan NewSubtract()
{
         return new TimeSpan(1, 1, 1);
}
时间限制过了,在加壳时,加壳后的程序也有时间限制
那么怎么去除呢? 这个貌似很难!!
不要害怕,思路很重要。回顾一下dll的整个混淆过程,无非就是将目标程序转换为IL后,再加入检测代码,最后再编译回来。
要转换,要加入代码,大概率涉及文件操作。我们不妨在TextWriter的WriteLine/Close/Dispose处下断点。看看写的临时文件在哪个地方。
单步跟踪一下,果然找到了目标路径:"C:\Users\用户名\AppData\Local\Temp\Eazfuscator.NET\Instances\of5lrwos.igu\15usox5o.wuy\Eazfuscator.Net.Test.il" 。
用文件编辑器打开这个路径下的IL文件,也同样发现目标检测代码,所以就要在文件生成这前改写检测代码,只要hook File.Delete即可
public static void NewDelete(string path)
{
    try
    {
        if (File.Exists(path) && path.ToLower().EndsWith(".il"))
        {
            FileInfo[] files = new FileInfo(path).Directory.GetFiles("*-*-*.il");
            if (files.Length != 0)
            {
                string fullName = files[0].FullName;
                bool flag = false;
                string text = File.ReadAllText(fullName);
                string text2 = @"(\.method.+bool.+\(bool.+\).+\n)\{[^\}]*get_UtcNow[^\}]*ldc\.r8\s+-21.[^\}]*AddDays[^\}]*\}";
                if (Regex.Match(text, text2).Success)
                {
                    text = Regex.Replace(text, text2,
                         @"$1{
                        .maxstack  5
                        IL_0000:  ldc.i4     0x1
                        IL_0005:  ret
                        }");
                    flag = true;
                }
                string text3 = @"(\.method.+void.+\(\).+\n)\{[^\}]*get_UtcNow[^\}]*ldc\.r8\s+-21.[^\}]*AddDays[^\}]*\}";
                if (Regex.Match(text, text3).Success)
                {
                    text = Regex.Replace(text, text3,
                        @"$1{
                        .maxstack  5
                        IL_0000:  ret
                        }");
                    flag = true;
                }
                if (flag)
                {
                    File.WriteAllText(fullName, text);
                }
            }
        }
    }
    catch
    {
    }
}
到这里,无序列号全功能就算完成了,后面改一下界面提示信息就行了。
最终加密效果如图


1718251116075.png (24.5 KB, 下载次数: 3)
下载附件
2024-6-13 11:58 上传

补丁…… 不解释,不负责,不承诺

winmm.zip
(30.27 KB, 下载次数: 18, 售价: 15 CB吾爱币)
2024-6-13 17:21 上传
点击文件名下载附件
售价: 15 CB吾爱币         [记录]
[购买]
下载积分: 吾爱币 -1 CB

程序, 时间

相关帖子

yanaying   

用net8编译的软件测试不通过。用打完补丁之后的Eaz编译release,可以正常启动的软件,修改当前日期到7天之后,就无法启动了
用工具去除试用之后才能启动。
我看了一下临时生成的il,检测日期的代码貌似不一样。另外,il文件是个guid命名的文件。
不如你把源代码发到github,大家一起分析不同版本软件混淆过程中的il代码
也许有个简单办法:
在EAZ启动之前,将日期改为2000年,这样EAZ可以启动,没有30天限制。(测试发现,只改本机时间,有可能启动不了)
当开始混淆的时候,将日期改为9999年,这样混淆出来的程序是永远不会过期的。
Hook之后,找个合适的时机,切换时间就行了


捕获.PNG (79.58 KB, 下载次数: 2)
下载附件
2024-6-13 15:38 上传

yanaying   


chinasmu 发表于 2024-6-13 21:27
请细说下,我研究研究
哦,大佬来了啊
安装2024.1,Patch之后,拷贝long.txt到程序目录,在vs里面拖拽工程到Eaz,然后在Release编译,调试窗口看到运行混淆,等一会提示混淆失败。改成命令行测试,开始混淆之后,等一会就直接结束了,没有显示done之类的,没有任何提示。
我把long.txt删掉,两个方法混淆都正常。
测试的程序是net8写的winform,没什么特殊代码。
Eaz的配置文件ObfuscationSettings.cs里面是
[assembly: Obfuscation(Feature = "apply to type * when internal and enum: renaming", Exclude = true, ApplyToMembers = true)]
[assembly: Obfuscation(Feature = "rename symbol names with printable characters", Exclude = false)]
[assembly: Obfuscation(Feature = "code control flow obfuscation", Exclude = false)]
不知道有没有影响
666888tzq   

大佬厉害,各种hook。
gltianya   

感谢分享
ly871108   

感谢分享
a2523188267   

太强了,学到了一点点皮毛!漂亮的绕过。
jun269   

楼主真是大佬,牛逼
dplxin   

通过分析后得知,只需要将Gapotchenko.Eazfuscator.NET.dll中的Program.Main参数劫持,当参数为 0 或者 --no-update-check时程序返回0,就能跳过检查并打开程序
复制代码 隐藏代码
if (args.Length == 0 || args[0] == "--no-update-check")
{
    return 0;
}
这个只是能打开程序,打开后还是有时间限制,那怎么办呢,我们只要hook UtcNow和Subtract即可
这些才是关键啊 如何分析出来的
jun269   

强大的楼主,https://www.eziriz.com/downloads.htm  这个可以和谐不?
下一页 »
12下一页
返回列表
您需要登录后才可以回帖 登录 | 立即注册

AD1

热门主题

热门板块

问与答分享发现分享创造奇思妙想分享邀请码商业推广优惠信息PythonPHPJavaJavaScriptNode.jsGo语言C++HTML

公告

标签|小黑屋|Yoo趣儿

GMT+8, 2024-11-13 09:49 , Processed in 0.126828 second(s), 15 queries , Gzip On, MemCached On.

Powered by Discuz! X3.2

The happiest thing in the world is to strive for an ideal.

返回顶部