反汇编跟踪时程序崩溃，不跟踪时正常运行，被加了时间限制的软件该如何下手？

xushujing007

这是一个类似模拟器一样的东西，当时间超过2022年11月19日时就会崩溃，关键文件似乎是目录下的server.dll，通过分析发现如果时间到期会给注册表写入一个值：
计算机\HKEY_CLASSES_ROOT\Interface\{91BC4EE0-961E-9B20-9B54-98E6B926C09F}
拥有这个值时就再也打不开，删掉以后把时间调回又能正常，很恶心的东西，想彻底绕过或者破掉。但是，直接跑X64DBG会崩溃，使用Scylla隐藏后可以调试，通过分析，但是找到线程入口，14001CA04步进跟踪时会陷入无限循环并且崩溃，不跟踪它就能正常，折腾了几天还是没头绪。。求大神指点我该怎么做才能让它不崩溃？
文件：
链接：https://pan.baidu.com/s/1CD5GRXHUk4V1CHqgFSN9gw
提取码：52PJ
蓝奏：

https://wwr.lanzoui.com/i4mXjp7uehi

lovejiaxu

虽然我也不想水贴，但是我还是被LZ悬赏的CB震惊了

冥界3大法王

显然该安装前使用Revo Installer Pro
除了那个记号外，估计还有另一处吧？
dump两份内存呢？我没试过，缺少技巧型总结
设法干掉写入注册表的这个键值的call呢？
这样的实例我曾经成功过几个案例，改了很多处很累，最后还太完美，后来想到此法儿简单修改1处，无限试用。
百度盘，下不动。

fjqisba

如果目的只是解决需求，那么最简单的办法就是最好的，
无非是想办法给程序加一段代码，让程序每次启动的时候都会删除注册表，这样也算是修改了程序的功能，完成了破解。

xushujing007

冥界3大法王 发表于 2021-5-17 20:10
显然该安装前使用Revo Installer Pro
除了那个记号外，估计还有另一处吧？
dump两份内存呢？我没试过，缺 ...

想让它运行在未来的时间内，但是这个程序似乎还有动态检测，只要把时间改到超时的时候就立马崩溃。

xushujing007

lovejiaxu 发表于 2021-5-17 20:09
虽然我也不想水贴，但是我还是被LZ悬赏的CB震惊了

其实是挺无奈的，就是有那种不服输的感觉，弄了好多天还是没头绪，是想弄更高一点召唤更多大佬的，但是奈何上限1000CB。。。

xushujing007

fjqisba 发表于 2021-5-17 20:20
如果目的只是解决需求，那么最简单的办法就是最好的，
无非是想办法给程序加一段代码，让程序每次启动的时 ...

但是实际有动态监控，它不止在启动时检测，运行时也会实时检测，只要一超过时间立马报错，就很恶心。

冥界3大法王

xushujing007 发表于 2021-5-17 20:21
想让它运行在未来的时间内，但是这个程序似乎还有动态检测，只要把时间改到超时的时候就立马崩溃。

所以，你还是学点hook大法吧。
比如吧FileLocatorPro_8.5.2951
我修改2处就成了注册版
但是程序还有好多处暗桩儿
Q群表哥的方法就是动态hook了

或者让它前面的事件全都不发生。。。那后面自然皆大欢喜。

还有一个方法，修改注册表权限，classID自然也就写不成功了。

Anewguy

可以把检测日期的代码屏蔽或者“欺骗”吗？

xushujing007

冥界3大法王 发表于 2021-5-17 20:27
所以，你还是学点hook大法吧。
比如吧FileLocatorPro_8.5.2951
我修改2处就成了注册版

或者让它前面的事件全都不发生，这个我挺感兴趣，愿闻其详