本帖最后由 jidesheng6 于 2020-8-8 12:53 编辑
昨天在论坛看到热门的这个软件,但是感觉软件的标题太过难受,刚好最近有空,就想着来分析一下。
说个题外话,最近一直在忙和女朋友还有工作上的事情,一直没时间发帖子什么的,也就今天闲下来了,有什么说的不对的地方,还请各位大佬海涵。
前提准备
首先需要准备以下工具:
ODExeInfoPexplorerDeDe
上面的工具大部分人应该很熟悉的吧,就不一一介绍了。
![FloderTree[1].PNG](https://attach.52pojie.cn/forum/202008/08/112746kztz1f819914fa8k.png "FloderTree[1].PNG")
分析
我们首先把软件安装起来,之后我们先用ExeInfo查一下壳和编译器信息。
![Info[1].PNG](https://attach.52pojie.cn/forum/202008/08/120112jxxkklndtk1mf1nl.png "Info[1].PNG")
可以看到,这个软件是无壳,而且是Delphi写的软件,第一时间想到的就是DeDe去查看它的一些信息,但是在这里我们先打开软件观察一下。
![SoftWareMainWin[1].PNG](https://attach.52pojie.cn/forum/202008/08/120137eslsyf1ng2lla2si.png "SoftWareMainWin[1].PNG")
我们可以看到这个软件的标题有软件的名称、联系方式、邮箱地址等信息,其次正下方有一个软件未注册,可以从这个切入点来进行分析,实际操作中,没有发现有类似信息框等切入点,而且在软件的发送注册邮件Link标签上面悬停也会出现广告,点击发送注册邮件软件还会调用mailto启动系统邮件进行快捷发送,所以我们要做的就是以下几点:
注册软件修改标题去除mailto调用去除悬浮广告
软件注册
既然上面已经说过我们要干什么了,那么接下来就可以开始动手了。
首先,我们把软件载入OD,搜索一下字符串,就从注册搜吧。
我们可以看到搜索注册,出现了一个软件已注册。
![StringInfo[1].PNG](https://attach.52pojie.cn/forum/202008/08/115813u7vp3nyzhmdlln6t.png "StringInfo[1].PNG")
我们跟过去,在软件已注册上方,我们看到了第一处的jnz跳转。
![jnz_1[1].PNG](https://attach.52pojie.cn/forum/202008/08/115915rukqzl4w7jm34wm8.png "jnz_1[1].PNG")
我们接着去试试,能不能找到第二个跳转。
果然,我们在已付款的上方发现了第二个jnz跳转。
![jnz_2[1].PNG](https://attach.52pojie.cn/forum/202008/08/115950oes3swnkx3eoef3y.png "jnz_2[1].PNG")
再往上已经没有了,我们在这两处下断点。然后运行软件,可以看到在第一个jnz断下来了。
我们修改Z标志位,让jnz不跳转,然后F8单步走下去。
![Z_Flag[1].PNG](https://attach.52pojie.cn/forum/202008/08/120250ox0h9k08hwhkz178.png "Z_Flag[1].PNG")
来到了第二个jnz处,同样的。修改Z标志位,让其不跳转,接着单步走下去。
![Z_Flag_0[1].PNG](https://attach.52pojie.cn/forum/202008/08/120315jzl7lwlopsl6p7dv.png "Z_Flag_0[1].PNG")
可以看到软件运行起来了,并且软件已经变成已注册状态了,之前灰色按钮也变成可用的了。
![SoftWareRun[1].PNG](https://attach.52pojie.cn/forum/202008/08/120530mkfan65z6n10zxkl.png "SoftWareRun[1].PNG")
所以我们需要修改的就是这两处跳转,把这两处修改为NOP,然后保存,软件的注册就完成了。
![SaveSoftWare[1].PNG](https://attach.52pojie.cn/forum/202008/08/120454zq73sfx2f8v5uuyf.png "SaveSoftWare[1].PNG")
修改标题
一开始,我也尝试过在OD中搜索字符串,但是没有搜索到任何内容,可能会有人想到DEDE,是的我也想到了,但是DEDE只能看,不能修改,所以我们这里要用到Pexplorer。
首先,我们打开Pexplorer,在软件的工具栏可以看到一个和程序图标很接近的图标,一会儿需要点击它。
![Pexploer[1].PNG](https://attach.52pojie.cn/forum/202008/08/122954gdhtut11bg9x9o9w.png "Pexploer[1].PNG")
打开资源编辑器以后,点击RCData。
![RcData[1].PNG](https://attach.52pojie.cn/forum/202008/08/123023la46arunn67zm4o7.png "RcData[1].PNG")
我们在里面找到TFrom1这个数据,这个是主窗口的一些信息,包括了标题等信息。
![Tform1[1].PNG](https://attach.52pojie.cn/forum/202008/08/123048ca3jpdohlbl7jmm2.png "Tform1[1].PNG")
我们展开TFrom1选中如图所示的选项,在右侧可以看到一个叫做caption的项目。
![TFrom1_cap[1].PNG](https://attach.52pojie.cn/forum/202008/08/123110clkku3uit46l0krt.png "TFrom1_cap[1].PNG")
我们选中caption并且点击图中圈出来的按钮,进行标题修改。
![Select-edit[1].PNG](https://attach.52pojie.cn/forum/202008/08/123307wxs574gav4eyxayy.png "Select-edit[1].PNG")
我们可以看到这里的原始标题,然后我们修改为我们想要的标题,点击应用-确定,最后另存文件,修改标题就完成了。
![EditWindows[1].PNG](https://attach.52pojie.cn/forum/202008/08/123131kytgsqmsmnggg7hm.png "EditWindows[1].PNG")
![Change[1].PNG](https://attach.52pojie.cn/forum/202008/08/123209zms45fsop7tk7fte.png "Change[1].PNG")
我们打开看一下,可以看到修改成功了。
![successchange[1].PNG](https://attach.52pojie.cn/forum/202008/08/123326sqotv6o0bqh240h0.png "successchange[1].PNG")
去除mailto调用
我们同样载入OD进行字符串搜索,可以看到刚进去就可以看到mailto和悬浮广告是在一起的,所以后面的去除悬浮广告也可以合并在这一起实现。
![maito[1].PNG](https://attach.52pojie.cn/forum/202008/08/124437da85mpazb258obv2.png "maito[1].PNG")
我们跟到汇编窗口中,右键-数据窗口中跟随-立即数,然后选择到字符串结束。
按下空格键编辑,然后把HEX数据全部改为00[就是空的意思],然后我们在数据窗口中右键-复制到可执行文件-保存,这里的MailTo和悬浮广告就去除完毕啦。
![Edit00[1].PNG](https://attach.52pojie.cn/forum/202008/08/124510i5doe17nnzz1h0ae.png "Edit00[1].PNG")
悬浮同理
![mailtooo[1].PNG](https://attach.52pojie.cn/forum/202008/08/124947c4pmwbxiziapi84m.png "mailtooo[1].PNG")
因为之前上过成品因为不知道有毒被删帖了,所以不放成品了,今天的分析就到这里。
哎,又有事得出去了。再见各位。 | 
[复制链接]
发表于 2020-8-8 12:51
![SoftWareMainWin[1].PNG](https://attach.52pojie.cn/forum/202008/08/120039xu3w82y9iw349rs5.png "SoftWareMainWin[1].PNG")
![EditWindows[1].PNG](https://attach.52pojie.cn/forum/202008/08/124551mcbhh5hou4c5zzud.png "EditWindows[1].PNG")
