[無用][Trick]CheatEngine秒爆軟體收費請求核心檢測點.(以某知名壓縮軟體為例)

-
為什麼會有這篇文呢...
純粹因為要去某某學校講場Talk可是怕沒東西Demo撐時間
所以就拿在網路上被拆到爛掉的WinRAR介紹一下惹XD
PS:有興趣的人可以用OllyICE手動暴力跟跟看,會發現跟不進去XD
※這篇文一點都不黑、不技術、純學術唷,學術型駭客正夯呢!
首先,本文主角是某壓縮軟體試用版
點選試用版的WINRAR x32bit
裝完試用版後有免費試用40天的期限
不過因為要等四十天才能繼續寫文章....
請把右下角的Windows時間調整到四十天以後XD
在開啟一次WinRAR.exe就會像這樣:
會噴出這個很煩人的窗窗...
OK,接著我們開啟工具Cheat Enigne
然後用CreateProcess的方式選擇到WinRAR.exe,按下開啟舊擋
就會看到CE幫你把Main Thread做了暫停並且視窗停在入口點囉

接下來
要介紹怎麼秒爆WinRAR的商業收費時間檢測點
首先我們知道,如果日期一超過四十天,雖然不知道它怎麼計算的
但是確切知道的是:它會彈出一個視窗告訴你該繳摳摳囉

所以我們就來在下一個BreakPoint下在SetWindowPos+14的返回點上
咦?你說不知道為啥要Hook這個很奇怪的點?看起來很難記嗎?XD
其實你可以翻到上一層
其實它是SetForegroundWindow這個API準備進入Ring0層的接口
可是它不像一般其他API都有NT函數,
而是獨立一個很奇怪的位置在SetWindowPos+14這個位置,沒有給正式的函數名

至於我怎麼撈出來的...
不要問...這算是經驗吧(?)暴力跟出來的XD
基本上涉及到窗體焦點...etc很多類型都會調用到這個

下好斷點後,準備開始瘋狂F9的旅程

一直F9、F9、F9、F9...會終於等到那個試用的訊息窗終於跳出來了
此時把返回點的BreakPoint拿掉(這很重要XD,不然你會進入很基巴的死迴圈)
接著可以做第一層的往上層跟蹤(Shift+F8)
會發現來到User32內的Call中Call
但是實在不是確實的比對點...繼續往上爬(Shift+F8)
爬到這裡就可以發現原來它的試用訊息是用DialogBoxIndirectParamAorW噴出來der
接著把試用訊息的提示視窗關閉後,就會把控制權交回CE惹
在往上跟一層
往上跟蹤到DialogBoxParamW是用這個做Create的~~
繼續往上跟

將將將將~~超級無敵容易就爬到檢測點了
在上面做了一個test al,al如果al為空就表示不需要跳出試用訊息

找到惹核心檢測點在Winrar.exe+9A2CB這邊的Test Al,Al要讓它下一個強跳
開啟OD,載入WinRAR找到這個位置
送它一記強跳OWO
然後存起來
手動打開這個Cracked版看看
成功啦~~從此以後都不會在彈那個試用訊息惹

PS:那個關鍵點往上爬一層就可以看到付費版檢測的方式不過感覺付費版應該沒跟試用版差多少功能,所以有興趣的可以再從al暫存器繼續做跟蹤,應該可以成功Patch成付費版

留言

張貼留言

這個網誌中的熱門文章

[C#] Lambda花式應用噁爛寫法(跨UI委派秒幹、多線程處理...etc)

-
為啥會有這篇呢...因為最近寫太多C# 突然發現Lambda對程式碼減化太有幫助了=...= 為了怕哪天老人癡呆忘了這些噁心的花式寫法,就開一篇Blog文紀錄了 以前在寫多線程,可能得這麼寫: void Func() {/*多線程要做的事情*/} //接著呼叫: Thread nThread = new Thread(Func); nThread.Start(); 但今天用Lambda可以改寫: Thread nThread = new Thread(() => {/*多線程要做的事情*/}); nThread.Start(); 甚至在噁心點寫的寫法: new Thread(() => {/*多線程要做的事情*/}).Start(); 簡單來說Lambda的形式可拆解成: ()是指你的函數參數列、然後可用=>代表你要接的Lambda陳述句/塊,最後用{}把事情包起來。 在來就是比較討厭的C#內要做跨UI線程操控UI上物件,會有跨UI安全性線程問題, 所以一般會額外寫個委派函數,然後請求UI Thread去處理這個委派函數請求,才能控制 這樣往往可能只用一兩次的委派函數,卻要占用一個篇幅去寫委派函數 先看看正常的跨UI委派寫法: private delegate void nCallback(string ContentText); public void n(string ContentText) { if (this.InvokeRequired) { nCallback obj = new nCallback(n); this.Invoke(obj, new object[] { ContentText }); return; } this.Text = ContentText; } //調用時呼叫n("str") 就可以改寫成: this.Invoke(new Action(() => { this.Text = "Str"; })); 又因為=>後面可接陳述塊或者陳述句,所
閱讀完整內容

[Black Asia Arsenal] puzzCode: 專注開發後門的編譯器, 自帶反逆向、對抗病毒特徵碼定位技術

-
圖片
前言 安安,這篇沒有講任何工具本身細節XD 純粹是個人一些 murmur 的廢文 簡報 專案 github.com/aaaddress1/puzzCode 吃我 Source 看細節啦(?) #murmur 其實事情是這樣 der,去年底忙完一堆工作的事情後發現好像有點閒,然後就收到了這樣的一封信躺在我的 gmail 裡面。 畢竟個人覺得自己沒那個屁股能投稿上 BlackHat 或者 DEFCON 這種一線等級的大 Conf。 這封信指出可以投稿你自己的駭客工具到 Black Hat Asia,若被接受,你可以獲得一個攤位和大約 2hr 時間可以讓你 present 你工具特別之處,最棒的是你可以獲得價值六萬塊新台票的入場券!(就是門票啦,那張 Badge)除此之外會贈送大會背包這樣,對一個沒去過 Black Hat 的屁孩如我來說超吸引的啊XD 之前的研究一直都差不多打轉在防毒軟體怎麼設計安全防護上,然後花了一點時間接了 MinGW 編譯器(GCC 在 Windows 分支版本的編譯器)用 C# 寫了一個簡單的 UI,來做到自動化將 C/C++ 原始碼透過編譯器產生 Assembly Script(其實理想狀況用編譯器的 IR Code 會比較恰當,畢竟如果要跨 CPU 架構,你的混淆 Patten 很容易吃大便)然後自幹了簡單的 Assembly 指令混淆邏輯單元、最後再透過組譯器產生出 Object File 與連結器封裝為 *.exe 的 Windows 程式這樣XD 這樣的工具當初構想是:很多基於 YARA 或者其他自定義的惡意程式特徵碼設計概念都是連續組合語言片段檢測 + Hash Check 來確認一隻文件是否具有惡意(正確來說應該是:是否已經被建檔為惡意文件)所以如果能設計一個編譯器自動化做到同份原始碼、每次編譯出的執行程式都會被混淆邏輯單元打散程式碼順序與穿插混淆程式碼,那其實可以做到很強程度的對抗現在一線的防毒軟體(看看那隻有點紅的小傘) 運氣不錯的是:以往 Black Hat 收錄的工具沒有這類型的工具,原本只有備取、最後成功被收錄到 Black Hat Asia 的軍火庫(Arsenal)啦,可參見至: PUZZCODE, MAKE BACKDOORS GREAT AGAIN! 實際擺攤的時候,對你工具有興
閱讀完整內容

[Windows] 逆向工程 C++ 中入口函數參數 main(argc, argv) 與如何正確的進行參數劫持

-
圖片
前言 我在 Github 上三年前開源了精簡的以 C/C++ 撰寫的 Windows 執行程式裝載器: aaaddress1/RunPE-In-Memory  用以從記憶體執行以 C/C++ 開發的 *.exe 程式不必以 CreateProcess() 來叫起,算是一種概念性 PoC 啦畢竟這種手段在惡意程式和殼上經常使用,所以寫一寫就丟出來給大家玩 XD 不過有人在我的專案發起了 Issue:既然能從記憶體中執行 *.exe 那能否偽造 *.exe 取得的參數呢?嗯好問題XD 正逢去年蠻忙的所以一直懶得弄,這個月比較閒於是就決定在專案中新增 參數偽造 的功能,這邊簡單提一下 C++ 中 main() 入口所收的 argc 與 argv 來的。 [附註] 以下逆向工程內容以 MinGW 生產的程式為例, 系統逆向工程為 Win10 企業版 1809版  CRTStartup 在 Windows 下通常取得參數通常分為兩種狀況:  WINAPI GetCommandLineW() 系統函數返回字串指針指向當前完整應用程式參數 從 main(argc, argv) 拿回來的參數,那麼第二種狀況在編譯器是怎麼吐參數給開發者 main 入口的呢? 在編譯器吐出執行程式後,連結器會生產一段 CRTStartup 的函數用於做一些基礎的例如像是 Security Cookies、Control Flow Guard 保護的初始化,在一系列初始化之後 .data 段的全域變數 _argv、argc 紀錄著要傳入給開發者入口函數的 參數陣列 與 數量,就以參數形式呼叫 main() 函數 好問題,那這兩個全域變數是在哪裡被初始化的? 你會發現以 MinGW 為例的話,會去呼叫 msvcrt!__getmainargs() 來取得參數資訊保存到 .data 全域變數上,後續再傳遞給 main() 函數;如果是 VC++ 吐出來的則是直接呼叫 GetCommandLineW() 在做文字切割取出參數 MSVCRT MSVCRT.dll 有導出一系列 C 函數是引用 #include <stdio.h> 時會用到的,例如 printf, sprintf, gets 等等。我們剛剛提到了其導出函數 _
閱讀完整內容