六哈逆袭：论坛大屌做心脏移植手术无师指导全程瞎逼操作人品爆发了发贴庆祝

冥界3大法王

常常看飘云阁论坛上QQ群里的表哥们做心脏移植手术（替换软件key，使老版的算法能用在最新版本里）羡慕不已（这就相当于给你家的防盗门上换了把旧锁，然后老钥匙来开门）
今天头次竟然成功了。
瞎逼操作的，没理论，没战术，更恨没有老师，没有类似的贴子，求人难，求人难，全程全凭感觉。




今天突然灵光闪现，我也要做个心脏移植手术。

费话不多说，因为找不到这方面的资料，只有自己瞎逼操作，瞎搞起来了。
由于是外行，不懂局，因为我想了想，势必先找个工具对比下吧，于是找到了BC
那就BCompare 16进制对比了。

操作一次，立马傻眼。茫茫的2进制代码中怎么就能找到关键的秘钥的那行呢？
于是我就想，这类东西，我们给它细分下。
你肯定有个作用的目标，和作用的源吧？

先到网上，或论坛上找一个最近的版本，打开它的秘钥文件。

通常有太多的软件，长着下面的标识。。。

--- BEGIN LICENSE KEY ---
--- END LICENSE KEY -----

比如著名的FTP上传工具，文件对比工具。。。。。这些年遇到的软件，那可就太多了。
然后呢，我们打开x64dbg字符串搜索

这里是行数有上万行之多，几万行里找一行，无异于是大海捞针啊。

但是你想想，即便行数再多。临近的版本也应该相差不大才是啊~~
所以，右击

我选择了到EmEditor

然后，动动脑子，先观察下，不难发现，由两列组成的

我用正则把前面第1列替换掉呢？
那不就只剩下一半的数据了？

然后再 删除重复行

然后再 排序下

最后一行，长得如此可爱呢？  我说像，长得像。太像了，像不像？ 那就试试呗。

反正，没有经验，失败也是正常，成功更加惊喜。


先搜索下Begin
End之类的行
按程序临近法则
所以那行不就找到了？ 这是在完全不知道的情况下


现在我们已经知道了，所以直接搜索
+11IE:keexjEP3
就定位到了~~
那到底是不是key呢？
我们做个试验来验证下
双击字串，转到地址，F2 设断
如断下，且为注册码之类的字符串出现在左下角信息窗口中

好了，现在找到了，如上面临近法则来定位第二个文件的秘钥字符串吧。

我们果然找到了哟~~
还等什么？ 等挨雷么？

00000000 | 48:8D15 8C010000         | lea rdx,qword ptr ds:[BFE75C]   | 0000000000BFE75C:"++11IE:N9KmiLVlKMU7RJqnE+WXEEPI"

16进制内存区，Ctrl+G, BFE75C转到，就呈现图中所示的样子了。
我们再Shift+C, 另一个窗口，再Shift+V 就完成了二进制的复制和替换操作。

最后软件打开时会报错，因为秘钥被改变了，key被读取有关，忽略之后进到界面再注册，就会显示成功。
当然还有暗桩，还需要一个小手术就OK了。（主要是去升级、联网、黑名单）




忆往昔我的旧时光都到哪里去了？！

八哈春节版之让自动化穷举式爆破为你扫除疑云
七哈逆袭：由一条吊带外露引发的悲剧
六哈逆袭：论坛大屌做心脏移植手术
五哈QT灰按钮的爆破要点总结
四哈爆破之词典类程序爆破要点分享
三哈爆破之旅要点分享
二哈爆破要点分享：32位 and 64位
大哈：简易爆破攻略
x32dbg/x64dbg命令快速入门系列视频教学
Baymax Patch Tools(大白补丁)使用从入门到精通
盖世神器PowerPro使用教程

Hmily

这还有网络验证了，才是关键，还是爱盘的通杀版本香。。。

冥界3大法王

其实上面的操作，有个更简单些的方法或许可行，将x64dbg的字符串列表，复制粘出两份，再用BC来对比。

smile1110

@冥界3大法王  这篇文章写的不错，澹语却别有风致，老哥
这两周神经性耳鸣我正在住院输水，过段时间带你玩点别的。

不羁的风儿

光看帖子我都头晕眼花。羡慕大佬技术

Pau250

wc，你这名字吓我一跳

冥界3大法王

Hmily 发表于 2021-2-2 18:22
这还有网络验证了，才是关键，还是爱盘的通杀版本香。。。

好是好，关键问题是姓Hmily
现成的再好，不如自己当家做主好啊。
还是自己DIY来乐趣多。
硬盘没坏前，以前Patch过黑名单吧。
再这里只是复习下功课，尝试下另外的玩法。
再简单修改下就能出厂了。

Hmily

冥界3大法王 发表于 2021-2-2 18:31
好是好，关键问题是姓Hmily
现成的再好，不如自己当家做主好啊。
还是自己DIY来乐趣多。

黑名单应该也过不去网络验证吧？

smile1110

Hmily 发表于 2021-2-2 18:22
这还有网络验证了，才是关键，还是爱盘的通杀版本香。。。

h大，您若是有空的话能否上传几篇php  webshell 样本分析的入门文章呢，想学习一下，尤其是解密和混淆这块，麻烦啦~

Hmily

smile1110 发表于 2021-2-2 18:38
h大，您若是有空的话能否上传几篇php  webshell 样本分析的入门文章呢，想学习一下，尤其是解密和混淆这 ...

不懂，自己搜搜PHP解密，论坛不少精华帖。