接下来就开始进入主题吧!老样子,查壳,虽然大公司的软件都不会加壳,但是还是看一看吧。随便下载了一个Detect-It-Easy-3.09版本,丢入看看:
image.png (45.66 KB, 下载次数: 0)
下载附件
2024-6-14 23:04 上传
不出所料,看一下软件未注册提示什么吧,我们运行软件,运行后就提示用ID登录,或者输入系列号,还有使用网络许可。
image.png (316.84 KB, 下载次数: 0)
下载附件
2024-6-14 23:07 上传
直接关掉这个窗口,提示许可管理器不起作用或未正确安装,现在将关闭AutoCAD。
image.png (33.59 KB, 下载次数: 0)
下载附件
2024-6-14 23:09 上传
既然如此,直接丢进X64DBG,看一看,直到程序完全运行后,按alt+e,找到ACAD.EXE双击进入该模块,搜索当前模块下有用字符,然后我找呀早呀找,都是洋文,老样子,全部复制利用网络翻译,最后在00007FF7974B4D41处找到了一个initStartup,翻译结果是“初始化启动”,那么我就更进去看看。
00007FF7974B4D41 | 4C:8D05 505B3000 | lea r8,qword ptr ds:[7FF7977BA898] | 00007FF7977BA898:L"initStartup"
image.png (337.72 KB, 下载次数: 0)
下载附件
2024-6-14 23:19 上传
跟过去看了一下,发现这里了有很多个跳转,进过我的尝试,发现前面有一堆计算都跳转到了下面的一个CALL中,具体代码见下面:
[Asm] 纯文本查看 复制代码00007FF7974B4CC9 | 75 23 | jne acad.7FF7974B4CEE |
00007FF7974B4CCB | 40:387424 50 | cmp byte ptr ss:[rsp+50],sil |
00007FF7974B4CD0 | 75 1C | jne acad.7FF7974B4CEE |
00007FF7974B4CD2 | FF15 18D12D00 | call qword ptr ds:[] |
00007FF7974B4CD8 | 48:8BC8 | mov rcx,rax |
00007FF7974B4CDB | FF15 EFCB2D00 | call qword ptr ds:[] |
00007FF7974B4D1E | 48:8B08 | mov rcx,qword ptr ds:[rax] |
00007FF7974B4D21 | 4C:8B41 40 | mov r8,qword ptr ds:[rcx+40] |
00007FF7974B4D25 | 48:8D15 7CF62E00 | lea rdx,qword ptr ds:[7FF7977A43A8] | 00007FF7977A43A8:L"DynamicLinker"
00007FF7974B4D2C | 48:8BC8 | mov rcx,rax |
00007FF7974B4D2F | 41:FFD0 | call r8 |
00007FF7974B4D32 | 48:8BC8 | mov rcx,rax |
00007FF7974B4D35 | E8 C2010000 | call acad.7FF7974B4EFC |
00007FF7974B4D3A | 48:8B08 | mov rcx,qword ptr ds:[rax] |
00007FF7974B4D3D | 4C:8B49 38 | mov r9,qword ptr ds:[rcx+38] |
00007FF7974B4D41 | 4C:8D05 505B3000 | lea r8,qword ptr ds:[7FF7977BA898] | 00007FF7977BA898:L"initStartup"这里时候我们搜索到的初始化启动位置
00007FF7974B4D48 | 48:8D15 79F62E00 | lea rdx,qword ptr ds:[7FF7977A43C8] | 00007FF7977A43C8:L"AcAutoLoader"
00007FF7974B4D4F | 48:8BC8 | mov rcx,rax |
00007FF7974B4D52 | 41:FFD1 | call r9 |
00007FF7974B4D55 | 48:85C0 | test rax,rax |
00007FF7974B4D58 | 74 02 | je acad.7FF7974B4D5C |
00007FF7974B4D5A | FFD0 | call rax |
00007FF7974B4D5C | 40:3835 79A84600 | cmp byte ptr ds:[7FF79791F5DC],sil |
00007FF7974B4D63 | 75 27 | jne acad.7FF7974B4D8C |
00007FF7974B4D65 | 48:8D0D 7C483000 | lea rcx,qword ptr ds:[7FF7977B95E8] | 00007FF7977B95E8:L"WM_AcSendWBHMessage"
00007FF7974B4D6C | FF15 5E8C2D00 | call qword ptr ds:[] |
00007FF7974B4D72 | 8905 60A84600 | mov dword ptr ds:[7FF79791F5D8],eax |
00007FF7974B4D78 | 48:8D0D 61150200 | lea rcx,qword ptr ds:[7FF7974D62E0] |
00007FF7974B4D7F | FF15 B3B82D00 | call qword ptr ds:[] |
00007FF7974B4DAB | 84C0 | test al,al |
00007FF7974B4DAD | 74 05 | je acad.7FF7974B4DB4 |
00007FF7974B4DAF | E8 B0C80300 | call acad.7FF7974F1664 |
00007FF7974B4DB4 | FF15 7ECF2D00 | call qword ptr ds:[
感觉代码不好看的,就看截图,有跳转的逻辑要好看一点,
image.png (409.25 KB, 下载次数: 0)
下载附件
2024-6-14 23:29 上传
我想着如果不要我输入系列号,不就可以了吗?我就直接把这个CALL给nop掉试试,然后修补文件后运行试试,结果决然可以使用了,没有弹出需要注册的窗口,接下来,我都把工作做完了,也没有什么异常的地方,功能完全正常。我觉得现在大公司的软件注册就是意思意思,不像那些搞辅助的,六亲不认呀。
好了,谢谢大家耐心观看,补丁制作很简单,我就不演示了。
