好友
阅读权限10
听众
最后登录1970-1-1
|
福乐
发表于 2018-11-14 11:17
本帖最后由 Kido 于 2019-6-6 18:06 编辑
单位的电脑按要求都强制安装了360天擎企业版,有时系统或360天擎出现问题想卸载重装,但卸载程序被加了密码(如图)。
- 破解过程
- OD加载卸载程序“uninst.exe”;
- 执行一次“F9”,停在[xxxx3BFD] call XXXX529c;
- 按“F8”2次,停在[xxxx3A80] push 0x58;
- 按“F8”直到[xxxx3B00] call xxxx8E03处;此处要按“F7”进入函数跟进,F8会出错;
- 执行到返回,跳出call xxxx8E03;
- 按“F8”直到[xxxx3B8D] call xxxx2570;按“F7”进入函数; //call winMain()主函数
- 按“F8”直到[xxxx2699] call xxxx2200; 按“F7”进入函数; //call showUninstallWindow
- 将[xxxx2341]处指令修改je [xxxxxxxx]为jne[xxxxxxxx]; //跳转为真则显示真正的卸载对话框
- “F9”运行显示真正的卸载对话框(如图)。
二、过程说明
- OD调试要结合字符串搜索,发现Uninstall之类的线索;
- 用IDA分析代码流程及相关函数的功能(如图是最后关键跳转的流程);
3.本人是初学,初次写贴子,不足之处还请担待。
三、破解后的程序的分发使用
1.由于进入系统后,360对所在目录进行了保护,所以修改后的原文件uninst.exe不能直接复制到360目录。可以在PE系统下覆盖原卸载文件,重启后即可执行;
2.方便大家,放上OD的360天擎卸载脚本。
四、说明一下吧:这个方法不是为了让大家卸载不用360天擎,因为企业既然让你安了,肯定会有相应的捆绑检测手段,你不安的话可能会影响使用内部网络。这个方法只是推荐你在360天擎出现问题或系统出现问题要排除360天擎影响的前提下使用,给大家一个排查选择。PE不会用的可以弄个OD,加载卸载程序后,再用脚本插件运行附件里的脚本就可以了。
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|