某PDF插件AutoBookmark跳过试用提示
本帖最后由 凡人也好 于 2024-5-29 15:02 编辑## 提取文件
使用`UniExtract`分析安装包,提取文件。
也可以安装后直接在安装路径中提取,默认在`{AcrobatFolder}\plug_ins\AutoBookmark`下。
根据安装脚本,可知插件分32位和64位两个版本。
## 使用IDA进行分析
首先安装插件并使用,可以发现试用版弹窗如下。
搜索字符串`trial`,并不断用ctrl+T寻找下一个,找到可能的弹窗流程代码。
可以发现`loc_1801AF570`代码段中调用`sub_18012E330`代码段进行操作,使用了`jnz`指令进行了跳转。进入`sub_18012E330`代码段。
可以发现`sub_18012E330`代码段有多处调用。
这里将`exa`的值置为1,使`loc_1801AF570`代码段中的`jnz`指令能始终跳转。
导出修改后文件。
## 测试运行
将修改后文件替换到安装目录下,发现插件使用时不再跳出试用提示了。
## 成品测试
32位修改思路类似,在此不再赘述。成品文件仅在证明本文真实性,仅做逆向学习使用,请勿用作其他目的,验证完毕后请主动删除相关文件。
mrywwtdmdb 发表于 2024-6-4 15:33
可以发现sub_18012E330代码段有多处调用
请教一下,怎么判断要去修改哪一处的调用?
我一开始直接修改的跳转指令,发现没效果,所以怀疑在其他地方可能也做了类似的判断,顺着跳转往上找,正好发现这一处被调用了很多次,就试着改了下看看。其实我也不是很懂,都是猜着改的 还没试过IDA分析,对其他软件不知道能否跳过,感谢楼主提供的思路 高手啊,让我膜拜一下 看看是什么 感谢分享!正好需要用到这个功能。 学习了,感谢这样的分享 感谢分享 高手高手之高高手
楼主V5,已收藏! 这个插件好用吗