关于 Pas**** for 系列的爆破分享
本帖最后由 martin313 于 2022-3-26 21:46 编辑关于 Pas**** for 系列的爆破分享
(按论坛发帖要求做了屏蔽,熟悉该软件的朋友应该可以猜出是啥,本论坛也可搜索到下载链接)
以 Pas**** for RAR 为例,如下:
1.安装。安装过程可能有点长(取决于下载网速),需要在线下载完整后再执行安装,全部安装好后程序包大概有100多M。安装完毕,先简单熟悉一下软件(如附图),了解有那些应用限制,然后语言选择为英文(原为中文)。(目前最新版为3.6.2)
2.最好在虚拟机里操作,复制已安装的文件夹到虚拟机,用x32dbg打开 Pas**** for RAR.exe(32位程序),ALT+E 选择,来到 Pas**** for RAR.exe 领空
3.搜索字符串 The program hasn't been activated(发现有2处),选择第1处敲回车转到代码区域,在段首 001900D0 按 Ctrl+R 查找引用,找到一个 call Pas**** for rar.1900D0,然后分析附近无关键跳转,因为考虑到有2处字符串,应该还有上级调用,于是在该call 的段首,再按 Ctrl+R 查找引用,又找到一个 call ,然后分析附近代码,初步判断该call的附近上方的2个跳转关键跳,如下:
00180B47 | 75 49 | jne Pas**** for rar.180B92
00180B4F | 75 41 | jne Pas**** for rar.180B92
都指向同一个地址,于是把 jne 改成 jmp,经测试,发现有效,解决了注册问题。
4.分别点击选中图中的解密选项1、2、3、4时,都会各自弹窗提示 Activate the program to proceed now ……
于是搜索字符串 Activate the program to proceed now,搜索到1处,敲回车,来到代码区,在该段首按 Ctrl+R 查找引用,找到一个call Pas**** for rar.A27A60(第一层),再往上找2层,找到 4个 call Pas**** for rar.ABD950,正好与程序主界面的4个解密选项对应(如附图),将对应区域的代码 JNE 改成 JMP 跳过 call(最后一处为比较大的跳转)。
另一个方法,针对多处调用同一个CALL的情形,可以将该CALL的段首直接修改为mov al, 0x1,下一句紧跟RET,应该可以达到类似效果,各位可以试试。
5.最后打补丁,保存修改成果。
如法炮制,可以搞定 Pas**** for pdf、excel、word、zip 等。该软件公司其他的产品,诸如Mark**、anyrecov**、film*,也可以采用爆破法。 等待
楼主通 杀补丁。。。{:301_1000:}
对 Pas***r for PDF 也可如法炮制
用 x32dbg 打开 Pas***r for PDF.exe
搜索 Activate the program to proceed now ,在段首013E7A60处按 Ctrl+R 查找引用,找到call Pas***r for PDF.13E7A60(第一层),再往上找2层,找到call Pas***r for PDF.13CD950(发现共4处),正好与程序主界面的4个解密选项对应,将对应区域的代码 JE 或 JNE 改成 JMP 跳过 call。
虽然古人云授人以鱼,不如授人以渔。但不是每个人都有楼主的天资,楼主能不能直接一点 guojiao 发表于 2022-3-30 09:57
虽然古人云授人以鱼,不如授人以渔。但不是每个人都有楼主的天资,楼主能不能直接一点
怕被关小黑屋 martin313 发表于 2022-3-29 11:37
对 Pas***r for PDF 也可如法炮制
用 x32dbg 打开 Pas***r for PDF.exe
貌似新版本,不是这个套路了,;www guols-cracker 发表于 2022-4-20 20:36
貌似新版本,不是这个套路了,
那就借助 binaryninja 分析,应该很快就能搞破
这些软件,说实话,实用性不强,所以我就懒得去跟进了
页:
[1]