使用UniExtract分析安装包,提取文件。
1.png (45.49 KB, 下载次数: 1)
下载附件
2024-5-29 14:47 上传
2.png (42.62 KB, 下载次数: 0)
下载附件
2024-5-29 14:47 上传
也可以安装后直接在安装路径中提取,默认在{AcrobatFolder}\plug_ins\AutoBookmark下。
根据安装脚本,可知插件分32位和64位两个版本。
3.png (202.45 KB, 下载次数: 2)
下载附件
2024-5-29 14:47 上传
使用IDA进行分析
首先安装插件并使用,可以发现试用版弹窗如下。
0.png (26.38 KB, 下载次数: 0)
下载附件
2024-5-29 14:47 上传
搜索字符串trial,并不断用ctrl+T寻找下一个,找到可能的弹窗流程代码。
4.png (25.06 KB, 下载次数: 1)
下载附件
2024-5-29 14:47 上传
5.png (211.84 KB, 下载次数: 1)
下载附件
2024-5-29 14:47 上传
可以发现loc_1801AF570代码段中调用sub_18012E330代码段进行操作,使用了jnz指令进行了跳转。进入sub_18012E330代码段。
6.png (18.23 KB, 下载次数: 2)
下载附件
2024-5-29 14:47 上传
可以发现sub_18012E330代码段有多处调用。
7.png (101.12 KB, 下载次数: 2)
下载附件
2024-5-29 14:47 上传
这里将exa的值置为1,使loc_1801AF570代码段中的jnz指令能始终跳转。
8.png (16.9 KB, 下载次数: 2)
下载附件
2024-5-29 14:47 上传
导出修改后文件。
测试运行
将修改后文件替换到安装目录下,发现插件使用时不再跳出试用提示了。
成品测试
32位修改思路类似,在此不再赘述。成品文件仅在证明本文真实性,仅做逆向学习使用,请勿用作其他目的,验证完毕后请主动删除相关文件。
下载地址.txt
(108 Bytes, 下载次数: 2)
2024-5-29 14:59 上传
点击文件名下载附件
下载积分: 吾爱币 -1 CB
