PCAPGenerator 是一款将高通日志中的IP数据包提取成可以供wireshark分析的工具。这个工具在QCAT6的时候是免费无License控制的,现在QCAT7之后必须要通过License才能使用。本文的目的重在学习如何采用x64dbg分析和破解。
本帖提供官方原版的exe如下,供大家学习练手用。 如果想去除License的限制的话,请大家自行按照帖子的方法尝试。解压密码 52pojie
Pcap_gen_original.7z
(1.02 MB, 下载次数: 0)
2024-11-25 23:31 上传
点击文件名下载附件
下载积分: 吾爱币 -1 CB
破解方法教程:
放到x64dbg中执行,弹出如下提示:
image.png (14.24 KB, 下载次数: 0)
下载附件
2024-11-25 23:32 上传
转到符号标签页,搜索PCAP,选中exe文件,右面可以看到有若干以Lime开头的函数,在高通所有工具系列中的License相关的API函数都是以Lime开头的。复杂的高通工具要考虑这些函数,但是本次要开刀的高通工具没有那么复杂。故而无需去分析这些函数。
image.png (67.35 KB, 下载次数: 0)
下载附件
2024-11-25 23:33 上传
先以提示入手,搜索PCAP_Gen_2.0.exe的所有字符串
image.png (119.94 KB, 下载次数: 0)
下载附件
2024-11-25 23:33 上传
找到程序退出前的提示语
image.png (119.13 KB, 下载次数: 0)
下载附件
2024-11-25 23:34 上传
红圈中的跳转,难道强行不让跳转就行了吗,显然不太对,因为另一个分支的提示明显是Got unknown Lime error.
image.png (47.73 KB, 下载次数: 0)
下载附件
2024-11-25 23:34 上传
也就是相当于当程序走到这里已经是无药可救了。真正的源头还必须要再顺藤摸瓜。 为了一览全貌,找到问题的源头,我们试用一下x64dbg的流程图功能。
image.png (70.64 KB, 下载次数: 0)
下载附件
2024-11-25 23:34 上传
可以明显看出有这个最上面的分支,左边是很多看上去很有用的代码,右面看上去都是各种错误提示的代码。这个就是一个可疑的跳转点。我们添加一个断点,运行程序。
image.png (53.69 KB, 下载次数: 0)
下载附件
2024-11-25 23:35 上传
当程序执行到断点的时候强制ZF =1,使得其进行跳转,则程序正常弹出使用界面了。 破解成功。
image.png (9.49 KB, 下载次数: 0)
下载附件
2024-11-25 23:35 上传
image.png (23.13 KB, 下载次数: 0)
下载附件
2024-11-25 23:35 上传
下面就可以大胆的将此处的Je改为JMP了,然后再patch,一切OK。
