新人的第一次成功破解，骗过某修改器的验证

Omniscience

话先说在前头，俺是萌新，微机原理与接口技术都挂科了还没修回的那种，刚玩反汇编，很菜。只是发下自己第一次逆向成功的经历。
接下来是正文。
因为近期考试周结束，有时间打游戏，但我近期玩的某个游戏更新了，以前的CT表无法使用，我想要的功能连控制台都没有（控制台有相关函数但缺失数据类型），暂时只在一个收费的修改器上找到。
因为闲嘛，就想尝试去逆向试试。
首先是大哥PEID和三哥OD，我先找的三哥，但提示说不是有效的32位PE文件，那大哥也就不用多说了。

还好我整的是论坛的64位虚拟机，工具箱里的EXE Info能担当大哥，虽然推荐的debug工具错了，但让我确定这是C艹写的，没有加壳

接下来就没二哥的事，三哥开始找的IDA Pro，但作者说Ta用的是Unicode字符，IDA貌似不支持，安装插件很麻烦，于是在论坛找到了x64dbg中文版，很惊喜的发现能支持Unicode。
修改器的标题栏有一个括号，括号里写着“未注册，不带*号为免费功能”，我先查找这个字符串，但没找到，却意外查星号的时候看到了一个长长的字符串

当时我以为作者直接把cdk写在程序里，但很遗憾，作者没那么傻，要联网验证

通过Fiddler抓包，发现激活时程序发送了一个请求到服务器，然后自然而然地，我想到修改验证

我写在最前面不是声明过我很菜吗？看了两个下午的调试，愣是啥都没做出来。
期间想到监控程序干过什么，比如注册表，没想到还真有

开始我是把cdkey直接写进注册表，但通过监控记录发现程序读取了key，但依然没成功。
直到昨天晚上，我在虚拟机填cdkey的时候再次收到了激活成功的窗口（之前弹过几次，但每次确定重启后还是老样子）

我突发奇想，想看看服务器返回的数据是什么，还真给我抓到了。
首先是之前抓到的程序给服务器的包，有修改器对应的游戏ID、版本信息，宿主机的识别号、激活码和IP地址

而传回来的是一长串哈希过的字符串，并且存储到了注册表的.../key中

俺那叫一个兴奋啊，赶紧把字符串导出到物理机，然后在x64dbg监控程序的动作。
中间撒币步进看程序略过，大概流程是读入key的值，然后算法进行验证，并且重新至少读取出机器码和激活码，大概就图中这样
（昨天的工程文件丢了，忘记算法在哪个地方，改天再找下）
开始我以为是机器码的问题，但在物理机也得到一串哈希过的字符串后依然激活失败，我怀疑是不是还要将激活码和程序存储的cdk进行对比，因为我看到过一个比较函数：repe scasd，昨天debug的时候还留了个标签

接着我在虚拟机断网做了验证

需要注意的是，这些字符串虽然存储了cdk的信息，但同时也是汇编代码，虽然不知道有什么用，但请谨慎修改。
于是我就成功骗过了程序的验证，能够正常的使用所有的付费功能

或许看帖子的你能猜到这个修改器是什么，但请不要说出来，我仅仅是以一个萌新的角度，投机取巧的破解了程序，并且分享我这两天的经历，仅此而已。
等我找到了那个验证算法，如果有大佬能直接跳过那个验证那就更强了，我现在的破解差不多每台机器都需要单独操作。
还有感谢论坛最帅的Hmily大神提醒如何正确的将图片插入帖子。
以上，2021年6月28日

Omniscience

170417 发表于 2021-12-3 01:00
现在这个方法还行吗，走了一下发现激活不了，也有可能是我太菜了o(╥﹏╥)o

找不到cdk可以去找下旧版本，她更新后貌似删去了相关字符串，但修改思路没变。
然后多尝试几个cdk，总能激活成功的

xixiwu

我也在修改这个，个人小白，我是用CE和x64dbg修改的，修改了好久没修改成，提示激活成功，但重启无效。我偶然搜索网上教程，结果发现了你的帖子，感觉如获重宝

Hmily

https://www.52pojie.cn/misc.php? ... 29&messageid=36 请看下这个内容，然后编辑下主题吧，把图片正确的贴入文中。

ljfabc

支持一下，谢谢分享

wuyifan520zhang

谢谢分享

jackhy

最近在破一个需要机器码验证的小玩意  搞S我了  都想放弃了

wuaixzc

支持一下，每次的分享都是进步。

坑爹酱、

牛的 很有天赋啊

gongxujian1982

看看，支持一下

aud

不错不错

weige04

支持，谢谢分享