二哈爆破要点分享：32位 and 64位

冥界3大法王

新版本有个新特性，强制登录，不登录不让试用，一次也不行，不然就退出。
我们先要解决这个问题。
这个程序如果你用OllyDbg来加载得急死，所以最好是使用先进的x32dbg/x64dbg来进行，而且F9运行中需要按无尽的Shift+F9跳过异常。
中途两次Shift+F9，或1次，因断点数量而议。

1.F12 暂停后，Alt+K 来到下图所示的地方

显然在“二哈”领空

[Asm] 纯文本查看 复制代码

00457D50 | 55                    | push ebp       如果这里返回1？（mov al,1; ret 以下修改方法略同，不再赘述） 会如何？ 标为：A1
00457D51 | 8DAC24 F4FDFFFF       | lea ebp,dword ptr ss:[esp-20C]                              | 
00457D58 | 81EC 0C020000         | sub esp,20C                                                 |
00457D5E | 6A FF                 | push FFFFFFFF                                               |
00457D60 | 68 BA16EB00           | push <二哈.sub_EB16BA>                                        |
00457D65 | 64:A1 00000000        | mov eax,dword ptr fs:[0]                                    |
00457D6B | 50                    | push eax                                                    |
00457D6C | 83EC 14               | sub esp,14                                                  |
00457D6F | A1 F8812E01           | mov eax,dword ptr ds:[12E81F8]                              | 012E81F8:"茾零u?"
00457D74 | 33C5                  | xor eax,ebp                                                 |
00457D76 | 8985 08020000         | mov dword ptr ss:[ebp+208],eax                              |
00457D7C | 50                    | push eax                                                    |
00457D7D | 8D45 F4               | lea eax,dword ptr ss:[ebp-C]                                | [ebp-C]:&"DifferentError"
00457D80 | 64:A3 00000000        | mov dword ptr fs:[0],eax                                    |
00457D86 | 894D EC               | mov dword ptr ss:[ebp-14],ecx                               |
00457D89 | FF15 2C3EF900         | call dword ptr ds:[<&?IsPerpetualOfflineLicense@CmjApplicat |========》===》想到啥？翻译成中文就是【是永久脱机许可证】A2
如果这里返回1？ 会如何？
00457D8F | 0FB6C0                | movzx eax,al                                                |
00457D92 | 85C0                  | test eax,eax                                                |
00457D94 | 74 76                 | je 二哈.457E0C                                                |
00457D96 | 6A 05                 | push 5                                                      |
00457D98 | FF15 54A5F900         | call dword ptr ds:[<&?CanLog@CmjLogWriter@@SA_NW4EmjLogLeve |
00457D9E | 83C4 04               | add esp,4                                                   |
00457DA1 | 0FB6C8                | movzx ecx,al                                                |
00457DA4 | 85C9                  | test ecx,ecx                                                |
00457DA6 | 74 5D                 | je 二哈.457E05                                                |
00457DA8 | 68 8437FA00           | push 二哈.FA3784                                              | FA3784:"CmjDesktopServerManager::OnAppStartup"
00457DAD | 8D4D E4               | lea ecx,dword ptr ss:[ebp-1C]                               |
00457DB0 | FF15 B4C9F900         | call dword ptr ds:[<&Ordinal#284>]                          |
00457DB6 | C745 FC 00000000      | mov dword ptr ss:[ebp-4],0                                  |
00457DBD | 68 AC37FA00           | push 二哈.FA37AC                                              | FA37AC:"Offline license"=======》》》》》》》》》====》想到啥？
00457DC2 | 8D4D E8               | lea ecx,dword ptr ss:[ebp-18]                               |
00457DC5 | FF15 B4C9F900         | call dword ptr ds:[<&Ordinal#284>]                          |
00457DCB | C645 FC 01            | mov byte ptr ss:[ebp-4],1                                   |
00457DCF | 8D55 E4               | lea edx,dword ptr ss:[ebp-1C]                               |
00457DD2 | 52                    | push edx                                                    |
00457DD3 | A1 60A5F900           | mov eax,dword ptr ds:[<&?LogTypeLicense@CmjLogTypes@@2V?$CS |
00457DD8 | 50                    | push eax                                                    |
00457DD9 | 8D4D E8               | lea ecx,dword ptr ss:[ebp-18]                               |
00457DDC | 51                    | push ecx                                                    |
00457DDD | 6A 05                 | push 5                                                      |
00457DDF | FF15 50A5F900         | call dword ptr ds:[<&?Log@CmjLogWriter@@SAXW4EmjLogLevel@1@ |
00457DE5 | 83C4 10               | add esp,10                                                  |
00457DE8 | C645 FC 00            | mov byte ptr ss:[ebp-4],0                                   |
00457DEC | 8D4D E8               | lea ecx,dword ptr ss:[ebp-18]                               |
00457DEF | FF15 3CD9F900         | call dword ptr ds:[<&Ordinal#1501>]                         |
00457DF5 | C745 FC FFFFFFFF      | mov dword ptr ss:[ebp-4],FFFFFFFF                           |
00457DFC | 8D4D E4               | lea ecx,dword ptr ss:[ebp-1C]                               |
00457DFF | FF15 3CD9F900         | call dword ptr ds:[<&Ordinal#1501>]                         |
00457E05 | B0 01                 | mov al,1                                                    |
00457E07 | E9 D2000000           | jmp 二哈.457EDE                                               |
00457E0C | BA 01000000           | mov edx,1                                                   |
00457E11 | 85D2                  | test edx,edx                                                |
00457E13 | 0F84 C3000000         | je 二哈.457EDC                                                |
00457E19 | E8 E2F5FFFF           | call <二哈.sub_457400>                                        |
00457E1E | 0FB6C0                | movzx eax,al                                                |
00457E21 | 85C0                  | test eax,eax                                                |
00457E23 | 75 2B                 | jne 二哈.457E50                                               |
00457E25 | 6A 00                 | push 0                                                      |
00457E27 | 6A 00                 | push 0                                                      |
00457E29 | 8D4D 00               | lea ecx,dword ptr ss:[ebp]                                  |
00457E2C | E8 CFD72000           | call <二哈.sub_665600>                                        |
00457E31 | C745 FC 02000000      | mov dword ptr ss:[ebp-4],2                                  |
00457E38 | 8D4D 00               | lea ecx,dword ptr ss:[ebp]                                  |
00457E3B | FF15 ACB0F900         | call dword ptr ds:[<&?DoModal@CmjMfcEnhancedDialog@@UAEHXZ> 看这里，类似于模态窗口
00457E41 | C745 FC FFFFFFFF      | mov dword ptr ss:[ebp-4],FFFFFFFF      ======》迷宫切入点===》F12,Alt+K后We are here!

A1修改后的效果是：跳过登录框+只读试用（到期）字样



A2呢，试试看呗。

看到没？已经是注册版了，但新建文档不可用。


顺势再往下找一找，发现什么？ 【是试用可用】等什么返回1，A3段首依然返回1


最后这里是A4，此时段首 返回0，因为我们希望过期永远不成立啊。

现在一切都变得美好了。 其实我啥也没说，泄露软件者凌迟~~ @liuchenxii
最后要说的是，这个程序如果从模块和API函数上入手定位起来很快的，如果用其他方式，可能要走不少冤枉路才能成势。
其实这个程序有一个简单的修改方法，只改1处dll，即可返回个人离线授权版状态，云授权和企业版授权，貌似必须联网才能成立，感兴趣的同学可以当做课后作业。

忆往昔我的旧时光都到哪里去了？！ 八哈春节版之让自动化穷举式爆破为你扫除疑云 七哈逆袭：由一条吊带外露引发的悲剧 六哈逆袭：论坛大屌做心脏移植手术 五哈QT灰按钮的爆破要点总结 四哈爆破之词典类程序爆破要点分享 三哈爆破之旅要点分享 二哈爆破要点分享：32位 and 64位 大哈：简易爆破攻略 x32dbg/x64dbg命令快速入门系列视频教学 Baymax Patch Tools(大白补丁)使用从入门到精通 盖世神器PowerPro使用教程

10807428

一个悲桑的问题 发表于 2021-1-23 14:11
我的天，是我撸多了么？
现在看图片都看不清楚了……眼花~
老哥们有法没，我需要补补~

是看有码的看多了才导致眼花

maxism

大佬过年好，很感谢您分享的文章，
自己有一个dll文件想麻烦您分析下，不知道您有没有时间，
https://www.52pojie.cn/thread-1344027-1-1.html

感谢。

prxor

弱弱的问一下，是啥软件，Office2021吗？

zjls9933

我的天，，这啥软件啊，，哪怕给点暗示也好啊。。

小朋友呢

好家伙，这个卖因得现在都这么皮了吗

hxd97244

看了半天也没看出来是什么软件

jhjhsxs

这个啥啊

liuchenxii

不敢透露软件名了，太可怕了

ellvincent

谢谢分享

cxqdly

好像是哪个思维导图吧