多种方法绕过某软件许可过期检测

查看 96|回复 10
作者:Jx29   
起因
看到坛友求助的一个软件试用期不能重置的问题:
有没有人知道为什么重装系统了软件试用期还是不能重置! - 『悬赏问答区』 - 吾爱破解
求助软件解包问题 - 『脱壳破解讨论求助区』
简单分析
软件下载下来发现是一个安装包,通过Total Uninstall监控软件安装,发现软件在安装过程中向注册表项写入一段数据,猜测是安装时间


image-20240915102529-xbongum.png (64.89 KB, 下载次数: 0)
下载附件
2024-9-15 12:42 上传



image-20240915102745-55ap35o.png (111.54 KB, 下载次数: 0)
下载附件
2024-9-15 12:42 上传

使用InnoExtractor(www.52pojie.cn](https://www.52pojie.cn/thread-1718344-1-1.html)对安装包解包,在安装脚本install\_script.iss中发现有相关代码


image-20240915103101-8g8r7a4.png (604.99 KB, 下载次数: 0)
下载附件
2024-9-15 12:43 上传

导出注册表文件并往后修改系统时间使软件过期,软件弹出过期窗口,此时再将时间改回,软件也会弹出过期窗口。


image-20240915104442-9u13p1a.png (21.96 KB, 下载次数: 0)
下载附件
2024-9-15 12:43 上传



image-20240915104500-8tbm7q4.png (118.68 KB, 下载次数: 0)
下载附件
2024-9-15 12:43 上传

将刚才导出的注册表文件重新导入,软件没有弹出过期窗口,看来它是通过注册表判断是否过期。到这里其实已经绕过许可过期检测了,只要更改系统时间就行了,但每次改时间也挺麻烦的,有没有一劳永逸的办法呢?
方法一:使用ida修改汇编代码,强制绕过许可检测
先将主程序SurrealCapture.exe丢到ida里,过期弹窗上有一个购买按钮,会打开某个网站,那么我们可以在ida搜索这个网站文本


image-20240915110253-hfs2r8r.png (37.25 KB, 下载次数: 0)
下载附件
2024-9-15 12:43 上传



pixpix2024_1.png (22.21 KB, 下载次数: 0)
下载附件
2024-9-15 14:54 上传

每个都点进去,f5看看伪代码,发现第一个是正常窗口,第二个才是过期窗口
在这里按x看看交叉引用,找到是谁调用了这个函数


image-20240915110956-cwd4jf9.png (105.35 KB, 下载次数: 0)
下载附件
2024-9-15 12:44 上传

跳转到这,接下来就得分析伪代码了


image-20240915111226-17cqq1e.png (47.43 KB, 下载次数: 0)
下载附件
2024-9-15 12:44 上传

int __thiscall sub_401350(const WCHAR *this)
{
  __int64 v2; // kr00_8
  DWORD (__stdcall *v3)(); // esi
  HANDLE v4; // eax
  char *v5; // edi
  __int16 v6; // ax
  char *v7; // edi
  __int16 v8; // ax
  HWND v9; // eax
  HANDLE v10; // ecx
  HANDLE v11; // eax
  BOOL Wow64Process; // [esp+10h] [ebp-3D8h] BYREF
  LPCWSTR lpParameters; // [esp+14h] [ebp-3D4h]
  __int64 v14; // [esp+18h] [ebp-3D0h] BYREF
  struct _NOTIFYICONDATAW Filename; // [esp+20h] [ebp-3C8h] BYREF
  lpParameters = this;
  if ( !sub_409180() )
  {
    sub_402810(
      &off_430C48,
      4,
      L"d:\\project\\surrealcapture\\surrealcapture\\surrealcapture\\360gamecapture.cpp",
      78,
      L"ASSERT");
    return 0;
  }
  v2 = qword_431D58;
  sub_40E084(&v14);
  if ( (v14 - v2) / 86400 >= 15 || v14
通过伪代码,我们可以得知软件会进行3次许可检查,那么我们可以修改这三次判断,跳过许可检查。
右键同步到ida窗口


image-20240915115540-kybiz35.png (33.84 KB, 下载次数: 0)
下载附件
2024-9-15 12:44 上传

ctrl+alt+k修改汇编代码,nop掉跳转


image-20240915121438-j7vd7nz.png (69.35 KB, 下载次数: 0)
下载附件
2024-9-15 12:45 上传

这里我们需要让它能够往下运行,所以改成jmp


image-20240915121607-rfm8joh.png (54.47 KB, 下载次数: 0)
下载附件
2024-9-15 12:45 上传



image-20240915121721-ukt729x.png (29.82 KB, 下载次数: 0)
下载附件
2024-9-15 12:45 上传

保存修改


image-20240915121925-irbjgig.png (51.79 KB, 下载次数: 0)
下载附件
2024-9-15 12:45 上传

打开看看,已经跳过过期检查了,这下不用修改系统时间也能打开了


image-20240915122022-yt62hxy.png (154.69 KB, 下载次数: 0)
下载附件
2024-9-15 12:45 上传

方法二:Hook GetSystemTimeAsFileTime
深入分析sub_40E084,我们可以发现软件调用了GetSystemTimeAsFileTime计算时间戳
__int64 __cdecl sub_40E084(__int64 *a1)
{
  __int64 result; // rax
  struct _FILETIME SystemTimeAsFileTime; // [esp+0h] [ebp-8h] BYREF
  SystemTimeAsFileTime = 0i64;
  GetSystemTimeAsFileTime(&SystemTimeAsFileTime);// 调用GetSystemTimeAsFileTime
  if ( *(_QWORD *)&SystemTimeAsFileTime - 116444736000000000i64 >= 325368000000000000i64 )
    result = -1i64;
  else
    result = (*(_QWORD *)&SystemTimeAsFileTime - 116444736000000000i64) / 10000000;
  if ( a1 )
    *a1 = result;
  return result;
}
那么,我们可以尝试hook GetSystemTimeAsFileTime,让它返回特定的值
(这里使用了Detours 库)
#include
#include
#include
static void (WINAPI* Real_GetSystemTimeAsFileTime)(LPFILETIME) = GetSystemTimeAsFileTime;
void WINAPI My_GetSystemTimeAsFileTime(LPFILETIME lpSystemTimeAsFileTime) {
    SYSTEMTIME st;
    // 2024年9月14日20:00:00
    st.wYear = 2024;
    st.wMonth = 9;
    st.wDay = 14;
    st.wHour = 20;
    st.wMinute = 0;
    st.wSecond = 0;
    st.wMilliseconds = 0;
    SystemTimeToFileTime(&st, lpSystemTimeAsFileTime);
}
BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved) {
    switch (ul_reason_for_call) {
    case DLL_PROCESS_ATTACH:
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}
// 安装 Hook
extern "C" __declspec(dllexport) void hooknew() {
    DetourTransactionBegin();
    DetourUpdateThread(GetCurrentThread());
    if (DetourAttach(&(PVOID&)Real_GetSystemTimeAsFileTime, My_GetSystemTimeAsFileTime) == NO_ERROR) {
        std::cout
编译为32位dll,使用studype+添加并保存


PixPin_2024-09-15_13-03-19.png (232.24 KB, 下载次数: 0)
下载附件
2024-9-15 13:13 上传



PixPin_2024-09-15_13-05-53.png (77.78 KB, 下载次数: 0)
下载附件
2024-9-15 13:13 上传

测试通过,这种方法可行


PixPin_2024-09-15_13-11-34.png (199.58 KB, 下载次数: 0)
下载附件
2024-9-15 13:14 上传

至此,本帖完结
感谢大家看到这里,再见!

下载次数, 下载附件

tommys   

这三下五除二,就把时间搞定了,太厉害了
下次加上判断文件本身创建的时间和操作系统安装的时间,来验证
Jx29
OP
  


Creeperppp 发表于 2024-9-15 19:06
大佬,看了您的帖子以后收获颇丰,我也发了一个帖子求助,我的软件会在本地创建一个端口,然后连接端口获取 ...

没搞过C#程序,不过还是简单看了一下,通过卸载软件卸载程序后清理残留重新安装是不会检测到之前记录的时间,可以通过这种方法实现永远在试用期。
如果需要的话,我可以写一个软件来清理卸载残留。
关于重新启动会过期的问题,是开启了一个服务,然后检测注册表是否被修改,注册表文件实在是太多了,要研究起来很麻烦
201613   

谢谢楼主分享
理想的海洋   

感谢分享优质技术
msxiaobei   

学习了!!真是学习资料很高的一篇帖子!!
WK8888   

点个赞再说,虽然我也不会这些
daoye9988   

进来学习学习
whz2009   

进来学习学习咱也试试
WXJYXLWMH   

感谢分享宝贵经验 谢谢
您需要登录后才可以回帖 登录 | 立即注册

返回顶部