对无限宝发现黑名单内进程自我结束的破解

DrMatrix

新人第一次发帖，若有错误请多多包涵。这篇文章之前发在本人的B站账号，当时还未注册论坛账号。
以下为正文。
目前只是完成了阻止进程结束自身的破解，具体无限宝发现黑名单中进程后的具体行为暂时不明确。


目前已经知道imeeting.exe无壳，直接用x86dbg附加imeeting.exe进程。   


无限宝的进程结束如下：首先用Getcurrentprocess获取当前进程句柄，后用terminateprocess结束自身。（原本猜测是Exitprocess，后来发现并不是）   


由于无限宝更改了结束进程的逻辑，结束进程不再是imeeting.exe调用imeeting.exe中的函数实现结束。现在变为imeeting.exe调用mfc90.dll中的某个函数，再由mfc90.dll的这个函数调用imeeting.exe中的结束进程函数。   


首先对terminateprocess下断点，然后将随便一个程序的名称改为dytool.exe（其中一个黑名单进程，这里使用微信）并打开，可以发现程序运行到了断点。

无限宝发现dytool.exe并自我结束

下图为无限宝自我结束函数






   可以发现，这是来自0x781B1591的调用。转到0x781B1591查看。







在这个函数起始处打断点，并重启无限宝，查看调用方。









可以发现是来自imeeting.exe的调用，函数返回到0x4A5FFA。继续打断点，重启并查看调用方。






还是来自imeeting.exe的调用，返回到0x4ABC35。





这个应该就是判定自我结束的函数。

无限宝的发现黑名单自我退出和关闭教室的退出运行部分相同的代码，因此不能直接将自我结束代码删去。这说明无限宝必然存在一些语句，来判定是否为发现是否为正常结束。因为这个函数很庞大，因此不妨猜测这个函数就是跳转判定的重要函数。关键步骤：将这个函数内每个条件跳转语句的下一条语句都打上断点，来找出关键条件跳转。




无限宝在正常运行（没有关闭操作）时命中的断点应删除。

重启无限宝后无限宝可以正常运行（不命中断点）点击关闭教室，查看断点命中顺序


0x4ABC12


0x4ABC30自我结束


重启无限宝教室并打开dytool.exe，查看断点命中顺序：


0x4AB3F2


0x4ABC12


0x4ABC30自我结束


可以发现，0x4AB3F2是二者的差别。转到0x4AB3F2查看代码：



猜测上面的跳转是关键，将其打上断点。重启无限宝后运行，可以发现正常运行这个跳转也会命中，但是这个跳转会执行。若打开dytool.exe，则这个跳转不会执行。可以判断，这个跳转就是关键。
、



将这个跳转改为无论什么情况都跳转(jmp)就可实现破解。

xionghaoyun

这软件听上去很2 不是什么正经的软件 感谢LZ分享

cxd44

看到很多学校都装了，

feijun

高深，看不懂。

julian609

不明觉厉。

SONGXINGJING520

我也一直学习X64dbg,苦于没有完整的教程而止步。

yingzhongming

看到这个教程学习了，感谢分享。消化中

shelter1

学到了 感谢分享

ByLiuCong

来学习一下

malaxiangguo

有没有大神教教我