好久没有发新帖了,一直在研究C#编程开发和逆向,闲来无事玩玩游戏,也开发了两个游戏辅助软件,偶然翻库存找到了一个古董级的辅助软件,每次打开都会弹网页,所以就逆向了一下,经过不懈的努力终于是搞定了,所以将成果分享.
注意,这个软件是某人PJ版,但是加了调料了(懂的都懂),VirusTotal检测其中41个引擎显示有威胁(经测试对系统无威胁)
检测报告地址:https://www.virustotal.com/gui/file/283e77fda6848b42a9ce7e570b6558c34630ccdfaee6648285eed39e4e9a6e6f
由于技术能力有限,没办法清除恶意代码,所以希望各位大神展示自己的一技之长,接力完成净化任务,在此谢过.
使用软件:
1.Detect It Easy v3.06(查壳,PE结构分析)
2.2.IDA PRO 7.6汉化版
3.x64dbg-2022.11.26-zh_Chs
4.PEExplorer_v1.99.6.1400_Chs(PE结构分析,资源修改)
软件下载地址:(base64)
aHR0cHM6Ly93d3cubmV3YXNwLmNvbS9mdXpodS82ODg4Ni5odG1s
1.查壳
查壳
区段信息
区段信息
区段信息
总结:软件本身显示无壳,但是两个区段显示已加壳()希望大神能解答一下原因,不胜感激!),但是软件入口点明显异常,且包含附加区段(作用不详).
2.IDA PRO修改方法(入门级)
载入
直接查找字符串
CTRL+F打开搜索框,然后输入弹出网页的关键字
先分析第一个连接(经修改测试无效)
点击地址
结构图
F5转换为伪代码
更改汇编代码视图模式
汇编代码
继续分析第二个链接
点击跳转到目标代码
定位关键代码
标记跳转位置
分析代码行为,确定修改内容
汇编方式修改代码
修改到目标地址
第二处也一并修改
保存修改后的文件
根据需要选择是否需要备份文件
退出后可以选择不保存调试数据
总结:IDA PRO的伪代码个人比较喜欢,通过汇编方式修改跳转来跳过弹网页代码.
3.x64dbg修改方法(入门级)
查找字符串
直接定位第二个链接的代码为止
选择网页弹窗部分代码,直接NOP掉
保存修改后的文件
保存的时候记得加上扩展名哦
总结:OD的批量NOP功能是真心好用
4.修改界面
这里我就不上图了,大家可以自定义调整大小和按钮布局,删除控件目前由于个人技术有限还不能实现,所以知识隐藏了主界面的帮助按钮.
在此希望各位大神能出一个修改入口点和删除附加区段的教程,让我们这帮小白也学习学习,感谢!
最后总结:
综合技术越强,可以做的事情越多,这个软件的破解原理到现在我也没弄懂,不过经过测试如果在跳转的地方开始一直NOP到跳转的位置软件就显示未注册,具体也搞不清楚原因
个人技术能力有限,对PE结构和汇编结构了解少之又少,望各位前辈推荐一些资料或者教程,补充一下对PE结构原理和修改方法的知识. | 
[复制链接]
发表于 2022-12-2 00:43
发表于 2022-12-29 10:34
