2.最好在虚拟机里操作,复制已安装的文件夹到虚拟机,用x32dbg打开 Pas**** for RAR.exe(32位程序),ALT+E 选择,来到 Pas**** for RAR.exe 领空
3.搜索字符串 The program hasn't been activated(发现有2处),选择第1处敲回车转到代码区域,在段首 001900D0 按 Ctrl+R 查找引用,找到一个 call Pas**** for rar.1900D0,然后分析附近无关键跳转,因为考虑到有2处字符串,应该还有上级调用,于是在该call 的段首,再按 Ctrl+R 查找引用,又找到一个 call ,然后分析附近代码,初步判断该call的附近上方的2个跳转关键跳,如下:
00180B47 | 75 49 | jne Pas**** for rar.180B92
00180B4F | 75 41 | jne Pas**** for rar.180B92
都指向同一个地址,于是把 jne 改成 jmp,经测试,发现有效,解决了注册问题。
4.分别点击选中图中的解密选项1、2、3、4时,都会各自弹窗提示 Activate the program to proceed now ……
于是搜索字符串 Activate the program to proceed now,搜索到1处,敲回车,来到代码区,在该段首按 Ctrl+R 查找引用,找到一个call Pas**** for rar.A27A60(第一层),再往上找2层,找到 4个 call Pas**** for rar.ABD950,正好与程序主界面的4个解密选项对应(如附图),将对应区域的代码 JNE 改成 JMP 跳过 call(最后一处为比较大的跳转)。
用 x32dbg 打开 Pas***r for PDF.exe
搜索 Activate the program to proceed now ,在段首013E7A60处按 Ctrl+R 查找引用,找到call Pas***r for PDF.13E7A60(第一层),再往上找2层,找到call Pas***r for PDF.13CD950(发现共4处),正好与程序主界面的4个解密选项对应,将对应区域的代码 JE 或 JNE 改成 JMP 跳过 call。
发表于 2022-3-26 09:16
|
发表于 2022-3-29 11:37
