xushujing007 发表于 2021-5-17 19:50

反汇编跟踪时程序崩溃,不跟踪时正常运行,被加了时间限制的软件该如何下手?

本帖最后由 xushujing007 于 2021-5-17 20:20 编辑

这是一个类似模拟器一样的东西,当时间超过2022年11月19日时就会崩溃,关键文件似乎是目录下的server.dll,通过分析发现如果时间到期会给注册表写入一个值:
计算机\HKEY_CLASSES_ROOT\Interface\{91BC4EE0-961E-9B20-9B54-98E6B926C09F}
拥有这个值时就再也打不开,删掉以后把时间调回又能正常,很恶心的东西,想彻底绕过或者破掉。但是,直接跑X64DBG会崩溃,使用Scylla隐藏后可以调试,通过分析,但是找到线程入口,14001CA04步进跟踪时会陷入无限循环并且崩溃,不跟踪它就能正常,折腾了几天还是没头绪。。求大神指点我该怎么做才能让它不崩溃?
文件:
链接:https://pan.baidu.com/s/1CD5GRXHUk4V1CHqgFSN9gw
提取码:52PJ
蓝奏:

https://wwr.lanzoui.com/i4mXjp7uehi

lovejiaxu 发表于 2021-5-17 20:09

虽然我也不想水贴,但是我还是被LZ悬赏的CB震惊了

冥界3大法王 发表于 2021-5-17 20:10

显然该安装前使用Revo Installer Pro
除了那个记号外,估计还有另一处吧?
dump两份内存呢?我没试过,缺少技巧型总结{:301_973:}
设法干掉写入注册表的这个键值的call呢?
这样的实例我曾经成功过几个案例,改了很多处很累,最后还太完美,后来想到此法儿简单修改1处,无限试用。
百度盘,下不动。{:301_998:}

fjqisba 发表于 2021-5-17 20:20

如果目的只是解决需求,那么最简单的办法就是最好的,
无非是想办法给程序加一段代码,让程序每次启动的时候都会删除注册表,这样也算是修改了程序的功能,完成了破解。

xushujing007 发表于 2021-5-17 20:21

冥界3大法王 发表于 2021-5-17 20:10
显然该安装前使用Revo Installer Pro
除了那个记号外,估计还有另一处吧?
dump两份内存呢?我没试过,缺 ...

想让它运行在未来的时间内,但是这个程序似乎还有动态检测,只要把时间改到超时的时候就立马崩溃。

xushujing007 发表于 2021-5-17 20:22

lovejiaxu 发表于 2021-5-17 20:09
虽然我也不想水贴,但是我还是被LZ悬赏的CB震惊了

其实是挺无奈的,就是有那种不服输的感觉,弄了好多天还是没头绪,是想弄更高一点召唤更多大佬的,但是奈何上限1000CB。。。

xushujing007 发表于 2021-5-17 20:22

fjqisba 发表于 2021-5-17 20:20
如果目的只是解决需求,那么最简单的办法就是最好的,
无非是想办法给程序加一段代码,让程序每次启动的时 ...

但是实际有动态监控,它不止在启动时检测,运行时也会实时检测,只要一超过时间立马报错,就很恶心。

冥界3大法王 发表于 2021-5-17 20:27

本帖最后由 冥界3大法王 于 2021-5-17 20:29 编辑

xushujing007 发表于 2021-5-17 20:21
想让它运行在未来的时间内,但是这个程序似乎还有动态检测,只要把时间改到超时的时候就立马崩溃。所以,你还是学点hook大法吧。
比如吧FileLocatorPro_8.5.2951
我修改2处就成了注册版
但是程序还有好多处暗桩儿
Q群表哥的方法就是动态hook了

或者让它前面的事件全都不发生。。。那后面自然皆大欢喜。

还有一个方法,修改注册表权限,classID自然也就写不成功了。

Anewguy 发表于 2021-5-17 20:28

可以把检测日期的代码屏蔽或者“欺骗”吗?

xushujing007 发表于 2021-5-17 20:30

冥界3大法王 发表于 2021-5-17 20:27
所以,你还是学点hook大法吧。
比如吧FileLocatorPro_8.5.2951
我修改2处就成了注册版


或者让它前面的事件全都不发生,这个我挺感兴趣,愿闻其详
页: [1] 2
查看完整版本: 反汇编跟踪时程序崩溃,不跟踪时正常运行,被加了时间限制的软件该如何下手?