在三年前对该软件进行了一次深入学习,在当时的学习过程中,由于作者技术不到位,所以比较艰难,发布到平台后,受到了很多大佬的指点,在这里感谢大佬们。同时还收到了很多的求助,于是在这里,三年后的今天,重新对该软件进行学习,还请大佬们不吝赐教。
该软件集合了 常见的文档格式互转、图片文档互转、CAD与其他格式转换、图像OCR、文档翻译、PDF文档合并、加解密等操作。测试发现,该软件实现效果远高于常见的在线网站以及开源软件。但是该软件的费用一直不低,于是时隔三年,再次进行深入学习。
过程
依旧是这个软件,后文中以ZZ代指。他的官网比三年前功能更加全面了,但是价格和印象中并没有发生改变,这是在这个时代的潮流中能够坚守本心的良心企业了,于是这也给了我们强烈的学习欲望。
1、bypass 校验
软件较大,静态分析过于复杂,于是我们先动态调试来定位到关键位置。软件依旧坚持大众化,使用32位,即使是多年的老电脑也可以正常使用。
正常使用发现,我们进行操作需要两个步骤,登录和开通VIP,于是去寻找对应的关键字符串。字符串是在我们正常使用中,通过提示弹窗发现的,软件中的字符串均采用了utf16编码,ida的识别不好,需要手动修改一下。基于最简单的PDF转WORD功能,我们定位到了下面这2段代码。
1.1、bypass 登录检查
第一段代码:通过弹窗字符串,我们确定这里是对登录条件的检查。众所周知,登录信息一般存放在注册表中或者是本地的配置文件中。我们通过跳出条件找到核心登录判断函数:check_login_sub_7A6AB0。他的返回值决定了登录状态。我们就不需要管他是怎么判断的了。
可以通过procmon.exe配合断点,看这个函数的行为,基本可以断定是注册表信息判断登录状态。
image-20250509224239161.png (90.28 KB, 下载次数: 0)
下载附件
2025-5-9 23:11 上传
这个函数中,存在两处返回,一处是0,代表未登录,另一处是登录状态。通过分析,我们知道他的登录状态来自一个全局结构体。方便起见,我们直接篡改汇编。只需要将其返回 >0 即可。x32代码的返回值通过eax传递。如下图。
image-20250509224708950.png (54.34 KB, 下载次数: 0)
下载附件
2025-5-9 23:11 上传
因为我们没有登录,所以默认走第一个return,但是保险起见,我们都改一下。下面的好改,只需要改为mov al, 0x1即可,剩余空间用nop填充。 第一处不好改,因为只有两个字节的大小,为了不影响整体代码,直接改为inc指令inc al。表示al自增1。
image-20250509224953071.png (200.77 KB, 下载次数: 0)
下载附件
2025-5-9 23:11 上传
这样,登录模块就成功bypass掉了。
1.2 、bypass VIP校验
下面的循环就是VIP判断。依旧是倒着看,为了不进入开通vip的提示弹窗,我们需要在这里就返回掉。所以必须v13 = 0,所以single_left_num_sub_7A5CA0(v9) 必须> 0而且is_single_packag_sub_7A6CC0()必须返回0.if ( !v23 ) return result;
image-20250509224309142.png (126.89 KB, 下载次数: 0)
下载附件
2025-5-9 23:11 上传
is_single_packag_sub_7A6CC0 分析
该函数实际的返回值来自下面这个函数,由于我们没有VIP,所以直改第一行就可以。依旧是在汇编中,将xor改为inc。
image-20250509225553735.png (87.21 KB, 下载次数: 0)
下载附件
2025-5-9 23:11 上传
single_left_num_sub_7A5CA0 分析
这个函数我们也是关心返回值,好在他比较简单。我们只需要将其改为其他值即可。同时我们通过函数名称判断,这个函数实际上是在校验剩余额度类似的功能。所以我们猜测这里返回的代表了剩余额度,因此可以将eax的位都填满。由于这里我们只改了最终结果,因此不存在额度被消耗的问题。这里改为mov eax, 0x888866即可。
image-20250509225734728.png (138.29 KB, 下载次数: 0)
下载附件
2025-5-9 23:11 上传
最后我们patch一下文件,就完成了操作。最后效果如下,我们并没有登录,但是判定为我们登录,同时也有了剩余额度,可以正常使用。
image-20250509230431605.png (72.1 KB, 下载次数: 0)
下载附件
2025-5-9 23:11 上传
点击我的订单,打开也是空白一片
image-20250509230459972.png (30.03 KB, 下载次数: 0)
下载附件
2025-5-9 23:11 上传
