随笔分类 - 逆向工程
摘要:先安装,然后直接使用dnspy调试Visual Studio 2022,以GhostdocPro的注册对话框作为突破口进行调试。经过一些调试可以比较轻松的发现关键点在SubMain.GhostDoc.Services.clr4.dll中,你可以通过everything在vs的插件目录中找到这个dll
阅读全文
摘要:估计跟插件尝试隐藏自身有关。如果目标进程没有反调试,那么可以尝试将ScyllaHide关闭:
阅读全文
摘要:Unity引擎的字符串有三种存储方式: 堆 : 分配在堆上 内嵌 : 一个栈上的内存数据。 默认25字节,可以放长度最多24的字符串。这个长度定义为STACK_LENGTH. 外部 重点主要是前两种,这是一种优化方法,对于非常短的字符串,可以直接使用栈数据而不需要再次内存分配。C++伪代码看起来像这
阅读全文
摘要:advapi32.dl clbcatg.dll combase.dl COMDLG32.dl coml2.dll difxapi.dl gdi32.dll gdiplus.dl IMAGEHLP.dI IMM32.dl kernel32.dl MSCTF.dl MSVCRT.dII NORMALIZ
阅读全文
摘要:最初我以为出现这个问题的原因是我本机没有安装Windows7sdk导致的,然后尝试安装了windows7 sdk。发现并没有什么用。接着机缘巧合之下发现这里的mssdk64_win7并不是指windows sdk,而是指ida pro使用的til文件。所以ida pro报这个错误只是因为安装目录下缺
阅读全文
摘要:尝试过现有的AHeadLib、AheadLibEx之类的工具,要么不支持x64,要么运行过程中卡死崩溃等。所以自己写了一个。放到了github上: https://github.com/bodong1987/AHeadLib.Net 先选择一个想要劫持的dll,然后选一个输出目录。工具将会为你输出完
阅读全文
摘要:正常情况下,全屏模式下,通过vmware工具栏的这个按钮可以实现多屏显示: 当某些异常情况下,这个按钮按下去之后,会闪一下然后使用双屏失败,有时候甚至会让虚拟机内部的鼠标消失。这可以通过以下方法解决: 在虚拟机内部,注意,是虚拟机的虚拟系统中操作,而非宿主机器上。打开系统服务,找到VMWare SV
阅读全文
摘要:x64dbg打开,直接搜索字符串: "IsRegistered" 查找引用位置,只有一个地方引用。这个位置就是校验授权的函数,修改这个函数,使得其总是返回3.这代表着"single computer license". 保存即可
阅读全文
摘要:这个app使用MFC制作,未加密。所以直接使用x64dbg或者idapro都可以直接调试。在idapro中可以直接在CDialog::DoModal中下断点,当未注册版本启动时,第一个界面就是注册对话框。因此这是最佳切入点。 在调用堆栈中可以轻松找到检查注册状态的代码: __int64 __fast
阅读全文
摘要:这个巨简单,使用Hopper Disassembly打开,搜索: [ActivationManagerDMG isSnagitRegistered] 改成返回1.
阅读全文
摘要:这是Mac下面一个压缩App,这是分析日志,如有侵权请联系我,秒删。 App的验证使用了RSA,1024。首先使用openssl工具生成private-key和public-key,长度1024. 将public-key转成base64字符串。 通过Hopper Disassembler打开app,
阅读全文
摘要:基于Windows版本的分析,基本原理是一样的:https://www.cnblogs.com/bodong/p/17311282.html 在Hopper Disassembler中打开,先搜索: mov eax, 113 (B8 13 01 00 00) 这个函数是检查license的函数,修改
阅读全文
摘要:这是MacOS下的一款SVN客户端。由于试用版和正式版并没有什么明显的区别,所以,如果你的使用时间很长很长,那么跟正式版也没啥区别了,这样也算是最简单的一个突破口了。 直接在Hopper Disassembly打开,直接查找label:604800 ,这是一个星期的总秒数,也是默认的试用时长,因此你
阅读全文
摘要:这是一款MacOS下面的GIT客户端,这里是一些分析日记,若有侵权,请联系我,秒删。 先安装,直接用Hopper Disassember调试,主要的模块是Tower/FNLicensing/FNFoundation。首先可以找到[GTProductConfig licenseCodeValidati
阅读全文
摘要:这是一个代码静态分析工具,这里是一些分析日记,若有侵权,请联系我,秒删。 这是一个.Net程序,使用 dotfuscator进行了混淆。虽然混淆了,但是不影响调试,可以直接使用dnspy进行调试。Help>License Information可以作为调试的入口点。 通过实时调试可以很轻松的找到校验
阅读全文
摘要:跟GhostDocPro是一个公司的,所以解锁的方法也是类似的,参考:https://www.cnblogs.com/bodong/p/17301854.html 区别只有一点点,dll为SubMain.CodeItRight.Services.clr4.dll,类名为:SubMain.CodeIt
阅读全文
摘要:这是一个MacOS下的软件卸载工具,这里是一些分析日记,若有侵权,请联系我,秒删。 安装之后,直接使用Hopper Disassembler打开,接着搜索"isunlock",你可以找到这个函数: [_TtC13App_Cleaner_822BaseFeaturesController isUnlo
阅读全文
摘要:1、首先在电脑左上方点击“系统偏好设置” 2、点击“安全性与隐私”按钮。 3、勾选“任何来源”按钮,打开即可。 有时候这个选项会不存在,那么需要关闭系统的Gatekeeper,在终端中使用此命令打开:sudo spctl --master-disable 执行上述步骤之后,出现“任何来源”选项,一般
阅读全文
摘要:Windows 此应用程序未加密,可以直接使用idapro或x64dbg进行调试。可以以一些常量字符串作为标志位,检查相关字符串引用的位置,并添加断点进行调试。经过一些调试可以找到下面的代码,这些代码是通过idapro反汇编出来的。 其中第一个if的位置调用了一个函数,这个函数其实就是检查授权的代码
阅读全文
摘要:PVS-Studio是一个静态代码扫描工具,还不错。 先通过dnspy调试主进程可以发现检查授权文件的的进程是一个子进程,如: PVS-Studio.exe --checkreg=yes --lic-file="D:\pvs.lic" 因此要解决授权问题,核心应该是调试PVS-Studio.exe这
阅读全文
