本方法只适用于有一组可以正确播放的密码+机器码才可以。加密软件版本不同是否可以没有测试。思路就是在软件获取机器码处替换为可播放的机器码。测试环境为win 7 64位系统。没有win7系统,就在虚拟机里实战了。废话不多说,直接进入主题。首先将软件载入OD,此时会断下来
1.png (655.18 KB, 下载次数: 0)
下载附件
2022-8-19 13:54 上传
点击运行,提示“请不要在虚拟机中运行”
2.png (667.84 KB, 下载次数: 0)
下载附件
2022-8-19 14:06 上传
点击“OK”软件运行结束。我们首先要过掉这个判断,重新加载,ctrl+G输入“401000”点击确定。
3.png (692.35 KB, 下载次数: 0)
下载附件
2022-8-19 14:34 上传
在OD主窗口右键选择“中文搜索引擎”->“智能搜索”。
4.png (608.65 KB, 下载次数: 0)
下载附件
2022-8-19 14:34 上传
来到如下界面,ctrl+F搜索刚才的提示。
5.png (448.37 KB, 下载次数: 0)
下载附件
2022-8-19 14:34 上传
选择第一处,鼠标左键双击。
6.png (406.77 KB, 下载次数: 0)
下载附件
2022-8-19 14:34 上传
分析如何能跳过这2处判断,往上翻发现“00497031”处有一个判断,如果直接跳转到“00497052”处,则可达到目的。
7.png (689.65 KB, 下载次数: 0)
下载附件
2022-8-19 14:34 上传
在“00497031”处,鼠标右键选择“汇编”。
8.png (554.37 KB, 下载次数: 0)
下载附件
2022-8-19 14:34 上传
修改汇编代码为jmp 00497052后点击“汇编”。
9.png (701.8 KB, 下载次数: 0)
下载附件
2022-8-19 14:34 上传
此时重复上述步骤,选择“智能搜索”。搜索“0000000000”。选择第一处鼠标左键双击。
10.png (405.89 KB, 下载次数: 0)
下载附件
2022-8-19 14:34 上传
网上翻,在“0049793C”处下断,点击OD三角符号运行。
11.png (640.59 KB, 下载次数: 0)
下载附件
2022-8-19 14:34 上传
按“F8”一步步执行,发现在“00497B0E”获取了机器码。在此下断.
12.png (667.88 KB, 下载次数: 1)
下载附件
2022-8-19 14:34 上传
在堆栈窗口鼠标右键选择“数据窗口中跟随数值”
13.png (681.54 KB, 下载次数: 1)
下载附件
2022-8-19 14:34 上传
在数据窗口中选中机器码鼠标右键选择”二进制”->”编辑”,替换为正确的机器码
14.png (686.17 KB, 下载次数: 1)
下载附件
2022-8-19 14:34 上传
15.png (699.4 KB, 下载次数: 0)
下载附件
2022-8-19 14:35 上传
此时点击OD三角符号运行,会再次在”0049793C”断住,继续点击运行,又会再次在”00497B0E”断住,重复上述步骤替换机器码,点击运行.此时会发现软件显示的机器码为替换后的机器码,在开启密码处输入正确的密码,点击”打开”会发现OD此时会再次断住,继续点击运行.会再次断到”00497B0E”,重复上述步骤替换机器码,点击运行.
此时,加密的视频软件会显示”正在打开”而卡在那里,或许一会软件桌面打开的图标也会消失,但是打开任务管理器发现程序还在继续运行,不用管它.耐心等待奇迹出现.
过了一会,发现视频可以播放了.此时可能会弹出错误提示,不过不影响播放.
16.png (654.57 KB, 下载次数: 0)
下载附件
2022-8-19 14:35 上传
