多种方法绕过某软件许可过期检测

Jx29

起因

看到坛友求助的一个软件试用期不能重置的问题：

有没有人知道为什么重装系统了软件试用期还是不能重置！ - 『悬赏问答区』 - 吾爱破解

求助软件解包问题 - 『脱壳破解讨论求助区』

简单分析

软件下载下来发现是一个安装包，通过Total Uninstall监控软件安装，发现软件在安装过程中向注册表项写入一段数据，猜测是安装时间




使用InnoExtractor（www.52pojie.cn](https://www.52pojie.cn/thread-1718344-1-1.html）对安装包解包，在安装脚本install\_script.iss中发现有相关代码


导出注册表文件并往后修改系统时间使软件过期，软件弹出过期窗口，此时再将时间改回，软件也会弹出过期窗口。



将刚才导出的注册表文件重新导入，软件没有弹出过期窗口，看来它是通过注册表判断是否过期。到这里其实已经绕过许可过期检测了，只要更改系统时间就行了，但每次改时间也挺麻烦的，有没有一劳永逸的办法呢？

方法一：使用ida修改汇编代码，强制绕过许可检测

先将主程序SurrealCapture.exe丢到ida里，过期弹窗上有一个购买按钮，会打开某个网站，那么我们可以在ida搜索这个网站文本





每个都点进去，f5看看伪代码，发现第一个是正常窗口，第二个才是过期窗口

在这里按x看看交叉引用，找到是谁调用了这个函数



跳转到这，接下来就得分析伪代码了

int __thiscall sub_401350(const WCHAR *this)
{
  __int64 v2; // kr00_8
  DWORD (__stdcall *v3)(); // esi
  HANDLE v4; // eax
  char *v5; // edi
  __int16 v6; // ax
  char *v7; // edi
  __int16 v8; // ax
  HWND v9; // eax
  HANDLE v10; // ecx
  HANDLE v11; // eax
  BOOL Wow64Process; // [esp+10h] [ebp-3D8h] BYREF
  LPCWSTR lpParameters; // [esp+14h] [ebp-3D4h]
  __int64 v14; // [esp+18h] [ebp-3D0h] BYREF
  struct _NOTIFYICONDATAW Filename; // [esp+20h] [ebp-3C8h] BYREF

  lpParameters = this;
  if ( !sub_409180() )
  {
    sub_402810(
      &off_430C48,
      4,
      L"d:\\project\\surrealcapture\\surrealcapture\\surrealcapture\\360gamecapture.cpp",
      78,
      L"ASSERT");
    return 0;
  }
  v2 = qword_431D58;
  sub_40E084(&v14);
  if ( (v14 - v2) / 86400 >= 15 || v14 <= v2 )  // 计算当前时间与安装日期的时间差，如果超过15天或者当前时间早于安装时间，则提示试用期已过期
  {
    sub_408BC0(1u);
    sub_402810(
      &off_430C48,
      3,
      L"d:\\project\\surrealcapture\\surrealcapture\\surrealcapture\\360gamecapture.cpp",
      84,
      L"Surreal Capture trial period has expired.");
    goto LABEL_42;
  }
  if ( !sub_409180() )                          // 再次许可检查,如果 sub_409180() 再次返回 false，则显示一个错误消息
  {
    sub_402810(
      &off_430C48,
      4,
      L"d:\\project\\surrealcapture\\surrealcapture\\surrealcapture\\360gamecapture.cpp",
      101,
      L"ASSERT");
    MessageBoxW(
      0,
      L"The data for install date was corrupted. Please purchase Windows 10 Movies & TV Codec Pack.",
      L"Surreal Capture",
      0x10u);
    return 0;
  }
  if ( sub_409240() )                           // 如果 sub_409240() 返回 true，则表示试用期已过期
  {
    sub_402810(
      &off_430C48,
      3,
      L"d:\\project\\surrealcapture\\surrealcapture\\surrealcapture\\360gamecapture.cpp",
      108,
      L"Surreal Capture trial period has expired.");
...

通过伪代码，我们可以得知软件会进行3次许可检查，那么我们可以修改这三次判断，跳过许可检查。

右键同步到ida窗口



ctrl+alt+k修改汇编代码，nop掉跳转



这里我们需要让它能够往下运行，所以改成jmp




保存修改



打开看看，已经跳过过期检查了，这下不用修改系统时间也能打开了

方法二：Hook GetSystemTimeAsFileTime

深入分析sub_40E084，我们可以发现软件调用了GetSystemTimeAsFileTime计算时间戳

__int64 __cdecl sub_40E084(__int64 *a1)
{
  __int64 result; // rax
  struct _FILETIME SystemTimeAsFileTime; // [esp+0h] [ebp-8h] BYREF

  SystemTimeAsFileTime = 0i64;
  GetSystemTimeAsFileTime(&SystemTimeAsFileTime);// 调用GetSystemTimeAsFileTime
  if ( *(_QWORD *)&SystemTimeAsFileTime - 116444736000000000i64 >= 325368000000000000i64 )
    result = -1i64;
  else
    result = (*(_QWORD *)&SystemTimeAsFileTime - 116444736000000000i64) / 10000000;
  if ( a1 )
    *a1 = result;
  return result;
}

那么，我们可以尝试hook GetSystemTimeAsFileTime，让它返回特定的值

(这里使用了Detours 库)

#include <windows.h>
#include <detours.h>
#include <iostream>

static void (WINAPI* Real_GetSystemTimeAsFileTime)(LPFILETIME) = GetSystemTimeAsFileTime;

void WINAPI My_GetSystemTimeAsFileTime(LPFILETIME lpSystemTimeAsFileTime) {
    SYSTEMTIME st;
    // 2024年9月14日20:00:00
    st.wYear = 2024;
    st.wMonth = 9;
    st.wDay = 14;
    st.wHour = 20;
    st.wMinute = 0;
    st.wSecond = 0;
    st.wMilliseconds = 0;

    SystemTimeToFileTime(&st, lpSystemTimeAsFileTime);
}

BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved) {
    switch (ul_reason_for_call) {
    case DLL_PROCESS_ATTACH:
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

// 安装 Hook
extern "C" __declspec(dllexport) void hooknew() {
    DetourTransactionBegin();
    DetourUpdateThread(GetCurrentThread());
    if (DetourAttach(&(PVOID&)Real_GetSystemTimeAsFileTime, My_GetSystemTimeAsFileTime) == NO_ERROR) {
        std::cout << "Hook attached successfully." << std::endl; 
    }
    else {
        std::cerr << "Failed to attach hook." << std::endl;
    }

    if (DetourTransactionCommit() == NO_ERROR) {
        std::cout << "Hook successfully installed.\n" << std::endl;
    }
    else {
        std::cerr << "Hook installation failed.\n" << std::endl;
    }
}

// 卸载 Hook
extern "C" __declspec(dllexport) void unhooknew() {
    DetourTransactionBegin();
    DetourUpdateThread(GetCurrentThread());
    if (DetourDetach(&(PVOID&)Real_GetSystemTimeAsFileTime, My_GetSystemTimeAsFileTime) == NO_ERROR) {
        std::cout << "Hook detached successfully." << std::endl;
    }
    else {
        std::cerr << "Failed to detach hook." << std::endl;
    }
    DetourTransactionCommit();
}

编译为32位dll，使用studype+添加并保存




测试通过，这种方法可行


至此，本帖完结
感谢大家看到这里，再见！

tommys

这三下五除二，就把时间搞定了，太厉害了
下次加上判断文件本身创建的时间和操作系统安装的时间，来验证

Jx29

Creeperppp 发表于 2024-9-15 19:06
大佬，看了您的帖子以后收获颇丰，我也发了一个帖子求助，我的软件会在本地创建一个端口，然后连接端口获取 ...

没搞过C#程序，不过还是简单看了一下，通过卸载软件卸载程序后清理残留重新安装是不会检测到之前记录的时间，可以通过这种方法实现永远在试用期。
如果需要的话，我可以写一个软件来清理卸载残留。
关于重新启动会过期的问题，是开启了一个服务，然后检测注册表是否被修改，注册表文件实在是太多了，要研究起来很麻烦

201613

谢谢楼主分享

理想的海洋

感谢分享优质技术

msxiaobei

学习了！！真是学习资料很高的一篇帖子！！

WK8888

点个赞再说，虽然我也不会这些

daoye9988

进来学习学习

whz2009

进来学习学习咱也试试

WXJYXLWMH

感谢分享宝贵经验 谢谢

cenjiefa

点赞，高手