本帖最后由 凡人也好 于 2024-5-29 15:02 编辑
提取文件
使用UniExtract分析安装包,提取文件。
也可以安装后直接在安装路径中提取,默认在{AcrobatFolder}\plug_ins\AutoBookmark下。
根据安装脚本,可知插件分32位和64位两个版本。
使用IDA进行分析
首先安装插件并使用,可以发现试用版弹窗如下。
搜索字符串trial,并不断用ctrl+T寻找下一个,找到可能的弹窗流程代码。
可以发现loc_1801AF570代码段中调用sub_18012E330代码段进行操作,使用了jnz指令进行了跳转。进入sub_18012E330代码段。
可以发现sub_18012E330代码段有多处调用。
这里将exa的值置为1,使loc_1801AF570代码段中的jnz指令能始终跳转。
导出修改后文件。
测试运行
将修改后文件替换到安装目录下,发现插件使用时不再跳出试用提示了。
成品测试
32位修改思路类似,在此不再赘述。成品文件仅在证明本文真实性,仅做逆向学习使用,请勿用作其他目的,验证完毕后请主动删除相关文件。
下载地址.txt
(108 Bytes, 下载次数: 89)
| 
[复制链接]
发表于 2024-5-29 14:59
|
发表于 2024-6-5 13:26
