XX增值税打印软件分析过程
本帖最后由 jidesheng6 于 2020-8-8 12:53 编辑>**昨天在论坛看到热门的这个软件,但是感觉软件的标题太过难受,刚好最近有空,就想着来分析一下。**
>**说个题外话,最近一直在忙和女朋友还有工作上的事情,一直没时间发帖子什么的,也就今天闲下来了,有什么说的不对的地方,还请各位大佬海涵。**
# 前提准备
首先需要准备以下工具:
- `OD`
- `ExeInfo`
- `Pexplorer`
- `DeDe`
上面的工具大部分人应该很熟悉的吧,就不一一介绍了。
# 分析
我们首先把软件安装起来,之后我们先用`ExeInfo`查一下壳和编译器信息。
可以看到,这个软件是无壳,而且是`Delphi`写的软件,第一时间想到的就是`DeDe`去查看它的一些信息,但是在这里我们先打开软件观察一下。
我们可以看到这个软件的标题有`软件的名称`、`联系方式`、`邮箱地址`等信息,其次正下方有一个`软件未注册`,可以从这个切入点来进行分析,实际操作中,没有发现有类似信息框等切入点,而且在软件的`发送注册邮件`Link标签上面悬停也会出现广告,点击`发送注册邮件`软件还会调用`mailto`启动系统邮件进行快捷发送,所以我们要做的就是以下几点:
- `注册软件`
- `修改标题`
- `去除mailto调用`
- `去除悬浮广告`
# 软件注册
既然上面已经说过我们要干什么了,那么接下来就可以开始动手了。
首先,我们把软件载入OD,搜索一下字符串,就从`注册`搜吧。
我们可以看到搜索`注册`,出现了一个软件已注册。
我们跟过去,在`软件已注册`上方,我们看到了第一处的`jnz`跳转。
我们接着去试试,能不能找到第二个跳转。
果然,我们在已付款的上方发现了第二个`jnz`跳转。
再往上已经没有了,我们在这两处下断点。然后运行软件,可以看到在第一个`jnz`断下来了。
我们修改`Z`标志位,让`jnz`不跳转,然后F8单步走下去。
来到了第二个`jnz`处,同样的。修改`Z`标志位,让其不跳转,接着单步走下去。
可以看到软件运行起来了,并且软件已经变成已注册状态了,之前灰色按钮也变成可用的了。
所以我们需要修改的就是这两处跳转,把这两处修改为`NOP`,然后保存,软件的注册就完成了。
# 修改标题
一开始,我也尝试过在`OD`中搜索字符串,但是没有搜索到任何内容,可能会有人想到`DEDE`,是的我也想到了,但是`DEDE`只能看,不能修改,所以我们这里要用到`Pexplorer`。
首先,我们打开`Pexplorer`,在软件的工具栏可以看到一个和程序图标很接近的图标,一会儿需要点击它。
打开资源编辑器以后,点击`RCData`。
我们在里面找到`TFrom1`这个数据,这个是主窗口的一些信息,包括了标题等信息。
我们展开`TFrom1`选中如图所示的选项,在右侧可以看到一个叫做`caption`的项目。
我们选中`caption`并且点击图中圈出来的按钮,进行标题修改。
我们可以看到这里的原始标题,然后我们修改为我们想要的标题,点击应用-确定,最后另存文件,修改标题就完成了。
我们打开看一下,可以看到修改成功了。
# 去除mailto调用
我们同样载入`OD`进行字符串搜索,可以看到刚进去就可以看到`mailto`和`悬浮广告`是在一起的,所以后面的去除悬浮广告也可以合并在这一起实现。
我们跟到汇编窗口中,右键-数据窗口中跟随-立即数,然后选择到字符串结束。
按下空格键编辑,然后把`HEX`数据全部改为`00`[就是空的意思],然后我们在数据窗口中右键-复制到可执行文件-保存,这里的MailTo和悬浮广告就去除完毕啦。
悬浮同理
因为之前上过成品因为不知道有毒被删帖了,所以不放成品了,今天的分析就到这里。
哎,又有事得出去了。再见各位。 不给个成品下载地址? bachelor66 发表于 2020-8-10 11:56
增票不都是指定的吗?需要税控盘
这个软件的风险是如果是税控盘开票,你的税率只能从几个税率里选择,还有关键就是密码区,发票号,检验码,开票日期,发票代码是完全不能修改填写的,这个能修改填写是可以用来套打发票的,现在各公司对于专票都是态度严谨,但是对于普票都是比较松懈的,这个能够套打发票,也就意味着市面上会大量出现套打的普票,是危害很大的 感谢分享,学习了 学习了,感谢分享,如有成品能否对比演练,谢谢 谢谢分享,抽时间试一试。 一看是个新思路 非常适合我等新手学习{:1_893:} 吾辈何以回报 谢谢分享 感谢今享! 太专业了,楼主能不能上成品