驱动大师-VIP验证系统绕过版本
本帖最后由 zhengxiaokai 于 2024-6-19 16:57 编辑原软件官方:驱动大师官网 (驱动大师官网 (https://imeitools.com/driverpro/index.html))
PS:写的挺棒的Windows环境依赖解决方案的软件,包括DLL修复,驱动下载,驱动检测,一些适用的工具。
https://static.52pojie.cn/static/image/hrline/1.gif
以下是包含VIP验证函数的exe和DLL:
drvmain.exe
drvtoolbox.exe
driversearch.dll
sysrepair.dll
https://static.52pojie.cn/static/image/hrline/1.gif
如何定位VIP验证call函数?
1.分析这个程序是如何提示开通VIP消息的。
2.我分析得到需要开通VIP它会弹出一个类似MessageBox的窗体。
3.并且在弹出MessageBox之后主进程依然是可响应的,那他一定是非阻塞,在弹出窗体前一定是有创建进程及线程操作。
4.所以我在createthread、createprocess(A&W)函数下断。
5.触发VIP开通提示之后,触发CreateProcessW函数,然后追踪堆栈调用(这就是一个比较有耐心的活了,如果大佬们有更好的实现思路可以分享一下。)
如何绕过的?
修改代码判断逻辑。
检测是否开启VIP函数->drvmain.exe+0x0204237
00604230 | 8B8D ACFEFFFF | mov ecx,dword ptr ss: | :GetClassLongW+7AA
00604236 | 51 | push ecx |
00604237 | E8 A46A0400 | call drvmain.64ACE0 | VIP验证call函数
0060423C | 83C4 04 | add esp,4 |
0060423F | F7D8 | neg eax |
00604241 | 1BC0 | sbb eax,eax |
VIP验证Call内部:
0064ACE0 | 55 | push ebp |
0064ACE1 | 8BEC | mov ebp,esp |
0064ACE3 | 6A 01 | push 1 |
0064ACE5 | E8 C6E6FFFF | call drvmain.6493B0 |
0064ACEA | 83C4 04 | add esp,4 |
0064ACED | 0FB6C0 | movzx eax,al |
0064ACF0 | 85C0 | test eax,eax |
0064ACF2 | 75 07 | jne drvmain.64ACFB | JZ 相等跳转改为JNE不同跳转
0064ACF4 | B8 01000000 | mov eax,1 |
0064ACF9 | EB 25 | jmp drvmain.64AD20 |
0064ACFB | E8 10DA0000 | call drvmain.658710 |
0064AD00 | 8BC8 | mov ecx,eax |
https://static.52pojie.cn/static/image/hrline/1.gif
https://static.52pojie.cn/static/image/hrline/1.gif
本人技术小白,有在吾爱破解学习过一些逆向基础和Windows API调用。大佬勿喷,如果有更好的实现方式及思路可以分享探讨。
已生成补丁,直接替换原文件即可。
替换之后一扫描软件弹出drvmain.exe 遇到问题已经停止工作。 thghx 发表于 2024-6-19 11:16
驱动大师官网 (imeitools.com)
这个网址也没有驱动大师呀,怎么会是它的官网呢
你打开网站,里面就有啊{:1_908:} 本帖最后由 chishingchan 于 2024-6-19 13:34 编辑
官网在这里:https://www.imeitools.com/drvmaster/ 官网没看到有驱动大师啊 这个好,顶起 驱动大师官网 (imeitools.com)
这个网址也没有驱动大师呀,怎么会是它的官网呢 已下载备用,感谢楼主,希望继续努力,天天向上! wsck63304521 发表于 2024-6-19 11:19
官网没看到有驱动大师啊
联想应用商店里找到的 https://lestore.lenovo.com/detail/L115740 个人推荐驱动总裁,用着还可以,也不需要VIP 先留着备用。 oxxo119 发表于 2024-6-19 11:42
你打开网站,里面就有啊
那是优化大师