爆破“3XXXXXXX”卸载程序

福乐

　　单位的电脑按要求都强制安装了360天擎企业版，有时系统或360天擎出现问题想卸载重装，但卸载程序被加了密码（如图）。
                                                                        

• 破解过程
  
  • OD加载卸载程序“uninst.exe”；
  • 执行一次“F9”，停在[xxxx3BFD] call XXXX529c；　　　　　　　　　　　　　　　　
  • 按“F8”2次，停在[xxxx3A80] push 0x58;
  • 按“F8”直到[xxxx3B00] call xxxx8E03处；此处要按“F7”进入函数跟进，F8会出错；
  • 执行到返回，跳出call xxxx8E03；
  • 按“F8”直到[xxxx3B8D] call xxxx2570；按“F7”进入函数；　　　　　　　　　　　 //call winMain()主函数
  • 按“F8”直到[xxxx2699] call xxxx2200;　 按“F7”进入函数；　　　　　　　　　　　//call showUninstallWindow
  • 将[xxxx2341]处指令修改je [xxxxxxxx]为jne[xxxxxxxx]；               　　　　　　　　　　　//跳转为真则显示真正的卸载对话框
  • “F9”运行显示真正的卸载对话框（如图）。
    
  
  

                                      

二、过程说明

• OD调试要结合字符串搜索，发现Uninstall之类的线索；
• 用IDA分析代码流程及相关函数的功能（如图是最后关键跳转的流程）；　
  

　　　　　　　　　　　　　　　　　　　
3.本人是初学，初次写贴子，不足之处还请担待。

三、破解后的程序的分发使用
  1.由于进入系统后，360对所在目录进行了保护，所以修改后的原文件uninst.exe不能直接复制到360目录。可以在PE系统下覆盖原卸载文件，重启后即可执行；
  2.方便大家，放上OD的360天擎卸载脚本。

四、说明一下吧：这个方法不是为了让大家卸载不用360天擎，因为企业既然让你安了，肯定会有相应的捆绑检测手段，你不安的话可能会影响使用内部网络。这个方法只是推荐你在360天擎出现问题或系统出现问题要排除360天擎影响的前提下使用，给大家一个排查选择。PE不会用的可以弄个OD，加载卸载程序后，再用脚本插件运行附件里的脚本就可以了。

coolfire1983

不用进入PE系统，用IceSword（冰刃）或AntiSpy工具的文件删除功能，将360天擎的密码文件EntClient\conf\Entdb.dat删除，即可无需输入密码就退出及卸载360天擎了。

就好

进了PE 直接在PE删不是更方便

wisoft

感谢分享思路！

jjyywg

顺便告诉你们win7以上开了防火墙关不掉的方法：
gpupdate/force
然后windows/system32/GroupPolicy 文件夹改成只读就不流氓了，feiq什么的都能用了。

hlm

好吧，我那次没办法，重新做的系统
~~~~~

悦来客栈

看到标题吸引我进来学习的。真巧，我单位也是这个软件。谢谢楼主

dzzzs

感谢分享思路！

Jb2012

试试看，谢谢分享

众人皆醉

现在很多单位都是这个，不过如果卸载了，系统会自动扫描报警的

福乐

众人皆醉 发表于 2018-11-14 11:56
现在很多单位都是这个，不过如果卸载了，系统会自动扫描报警的

是的，卸载后内网就上不去了。主要是出了问题时多了种选择。

luckflame

吾爱破解论坛里面据说很多360员工！