爆破“3XXXXXXX”卸载程序
本帖最后由 Kido 于 2019-6-6 18:06 编辑单位的电脑按要求都强制安装了360天擎企业版,有时系统或360天擎出现问题想卸载重装,但卸载程序被加了密码(如图)。
[*]破解过程
[*]OD加载卸载程序“uninst.exe”;
[*]执行一次“F9”,停在 call XXXX529c;
[*]按“F8”2次,停在 push 0x58;
[*]按“F8”直到 call xxxx8E03处;此处要按“F7”进入函数跟进,F8会出错;
[*]执行到返回,跳出call xxxx8E03;
[*]按“F8”直到 call xxxx2570;按“F7”进入函数; //call winMain()主函数
[*]按“F8”直到 call xxxx2200; 按“F7”进入函数; //call showUninstallWindow
[*]将处指令修改je 为jne; //跳转为真则显示真正的卸载对话框
[*]“F9”运行显示真正的卸载对话框(如图)。
二、过程说明
[*]OD调试要结合字符串搜索,发现Uninstall之类的线索;
[*]用IDA分析代码流程及相关函数的功能(如图是最后关键跳转的流程);
3.本人是初学,初次写贴子,不足之处还请担待。
三、破解后的程序的分发使用
1.由于进入系统后,360对所在目录进行了保护,所以修改后的原文件uninst.exe不能直接复制到360目录。可以在PE系统下覆盖原卸载文件,重启后即可执行;
2.方便大家,放上OD的360天擎卸载脚本。
四、说明一下吧:这个方法不是为了让大家卸载不用360天擎,因为企业既然让你安了,肯定会有相应的捆绑检测手段,你不安的话可能会影响使用内部网络。这个方法只是推荐你在360天擎出现问题或系统出现问题要排除360天擎影响的前提下使用,给大家一个排查选择。PE不会用的可以弄个OD,加载卸载程序后,再用脚本插件运行附件里的脚本就可以了。
不用进入PE系统,用IceSword(冰刃)或AntiSpy工具的文件删除功能,将360天擎的密码文件EntClient\conf\Entdb.dat删除,即可无需输入密码就退出及卸载360天擎了。 进了PE 直接在PE删不是更方便 感谢分享思路! 顺便告诉你们win7以上开了防火墙关不掉的方法:
gpupdate/force
然后windows/system32/GroupPolicy 文件夹改成只读就不流氓了,feiq什么的都能用了。 好吧,我那次没办法,重新做的系统
~~~~~ 看到标题吸引我进来学习的。真巧,我单位也是这个软件。谢谢楼主 感谢分享思路!
试试看,谢谢分享 现在很多单位都是这个,不过如果卸载了,系统会自动扫描报警的 众人皆醉 发表于 2018-11-14 11:56
现在很多单位都是这个,不过如果卸载了,系统会自动扫描报警的
是的,卸载后内网就上不去了。主要是出了问题时多了种选择。 吾爱破解论坛里面据说很多360员工!