七哈逆袭:由一条吊带外露引发的悲剧

第一节:要打谁?打死谁?目标何在?目标会"隐身"
。。。这个软件非常想搞一搞,怎奈当年水平不够,无处下嘴。。。事隔多年,耿耿于怀。
因为这个软件的旧版本,在咱的电脑上使用多年了。。。。确实是非常不错的。。。。网表填充工具。。。。
这个东西到现在的版本必须得登录,据说到了8.0以上就有了分水岭。。。而网上能找到版本就是这之前的某一便携版。
于是我们今天就请出了我们的女主角。。。。

由于这个便携版的使用是为了在U盘上使用的,有一定的特殊性,你还没有办法直接来安装来使用。
因为它是一个主程序,临时性的释放到U盘的分区上,当目标进程结束之后,它也就把所有的文件夹删除掉了
为了不影响外边主机的使用,我们就到虚拟机VMWare 中来操作吧。若用SandBoxie在操作上有诸多的不便。
先把文件复制过去,然后我们用OSMount虚拟一块内存区域当U盘,并格式化了。设个100M的大小也就够了。

然后我们双击那个.exe来“安装”
然后呢,我们先去观察一下几个特殊的文件夹。。。

这就是假的U盘上的全部文件了。


其实文件夹,也可以长成这个样子。不要太在意


第1 个文件夹中的文件,直接运行,就会释放,临时性的启动特定的文件夹(浅黄背景下的那图哟~~)
发现了这些是不是发现了宝贝?
其实我悄悄的告诉你们,它们只不过是 AiRoboForm-Portable.bin 文件的变身21.7MB
那还等 什么? 全部复制出来呗~~

而第2个呢,运行几个EXE,无论是哪一个,都会弹个框出来,报错,告诉你这是U盘上使用的软件。。。你无法。。。正常。。。
多试几个,发现有一个有了突破性进展~~

这说明啥? 这个文件夹是存放表单文件的。
根据冥界三大法王之36路爆破经典定式口诀记载,缺啥补啥,以逸待劳,抢占归妹位。
赶紧行动起来吧~~把主机上的此类文件夹复制到虚拟机的文件夹中去吧。

通过几轮的试验,我发现了以下的规律性。。。。
然后我们尝试复制 和 伪造文件夹。。。。
然后,再运行,此时告诉你有个文件夹下少了AiRoboForm-Portable.bin此文件。
经过一番报错之间的搏斗,我们最终取得了首轮战役的胜利。
上边提到的几个EXE总算是不报错,可以正常的运行了。
到这里,我们终于有机会来调试目标程序了。
但是这个目标文件夹下的文件还是有点多,因为 我们要把一些不相干的文件都删除掉 或  移动 回收站里去。(就像上边的某个截图演示的那样)
比如各种语言的license.txt ,还有其他的一些 语言相关的文件*.rfs ,我们只要  中文和 英文 就可以了。
然后 有几个 EXE ,还有几个 dll ,我们试着先把  64位的那个也扔到 回收站里边去。。。
准备工作好了,之后,我们就可以行动了。
前面的部分为你揭示了:搜集情报、整理情报、分析信息、采取行动和解决问题的重要性。
到底何为“破解”呢? “破”者打断也,“解”者解惑也~~
楼主以为“解”字更重要,不然打谁?打死谁?你都不知道,还玩什么?


第二节:限制点在哪里? 有哪些战术可以考虑实施?

因为老版本,我都是直接享受网上的破解补丁的,基本补丁过程就是生成一个licese.rfo文件  ,和把目标目录中的那个dll文件给补丁了。
另外呢,当表格数量 超过 20个时,未注册版,也会弹框提示。。。(因此上面复制了24个表单文件)
直接安装就是 30天的试用版
所以,我们基本上就知道,得跟一下 licese.rfo ,以及那个dll文件
到此时,我们已知三种破解思路了。直接日死30天试用,干了超过20个,强制赋值成注册版,安全起见一并把网络也干掉。
先到dll中搜索license.rfo 能搜索到10个左右吧。expire呢,能搜索到,但是断不下来。其他的授权状态等,基本上也是能找到,没有啥实际的断下的迹象。
但是我们想想吧,这个窗口中的内容都源于那两个语言文件,而里边的东西呢,又没有办法直接看到。所以,我们猜这可能里边是调用的.html

通过简单的归纳总结:
我们有三策可以考虑来实施:
1.欧死30天,欧死20个
2.欧死连网,欧死升级检测==》
3.返回注册状态


第三节:实施有效精准打击:

下面的内容待续~~~

==》第2点,这个不费脑,我们就先来弄这个吧。
打开之前先用TC搜索下,这个软件的域名有哪些?

通过TC搜索,我们大致可以总结和归纳下:基本分为三小组,插件类文件下的,主程序目录下的dll和EXE,两个语言文件不考虑
打开WinHEX,我们优先把第二路dll和EXE的都替换掉吧~~

红框处各执行一次,替换全部打开的文件哟~~

另外还有两个js and .json也一并看看,里边有啥?
貌似就是浏览器插件的检测,打开网址看看吧,发现老版本已经黄蛋了,还是一路干掉吧。
反正打开也没有实际价值了。

这样就比较好了。语法没啥问题,起到简单的破坏作用就行了。

然后我们去触发软件菜单中的【检查更新】就会出来上面的这个东东

再点下关于好了~~
看到没? 我们顺势找到了下一个修改点AutoUpdate

那就先来彻底解决AutoUpdate这个吧~~

先用SandBoxie中打开x32dbg,再去打开目录中的随便哪个EXE都行的。

我们手气还是不错的哟~~
具体哪个起到了决定作用,到目前为止还不太清楚。
当然是先运行下,看看走势和大致的情况再说吧。
[Asm] 纯文本查看 复制代码

5D41E6C3 | 68 68 | push roboform.5DB75668                  | 5DB75668:"AutoUpdateWelcome"5D41E6C8 | E8 13 | call roboform.5D055CE0                  |5D41E6CD | 83C4  | add esp,4                               |5D41E6D0 | 50    | push eax                                |5D41E6D1 | 68 68 | push roboform.5DB75668                  | 5DB75668:"AutoUpdateWelcome"

因为软件会调用卡口浏览器(chrome)和 FireFox (火狐狸)的浏览器插件,所以那些dll你最好还是修改掉的好~~

然后右下角托盘区就会冒出来这个啊~~
遇到这种情况究竟该怎么办?
还是不要着急去修改,具体是哪里?
得先整明白目前发生了哪些事情?

我们简单的来梳理下头绪吧:
双击其中的某几个EXE文件,来加载roboform.dll 或 roboform64.dll
无论是哪个EXE也都一样会去加载那个公共的roboform.dll 或 roboform64.dll
然后roboform.dll 或 roboform64.dll中在某一时刻读取license.rfo 这个授权文件
如果你的授权文件不合法,或合法将出现以下几种状态:
1.免费版  2.过期版 3.个人版  4.企业版  5.便携版
具体和下文的对应顺序这里还不得而知。(因为此时下结论还太早)

VMWare中调试中,已经发现重要线索~~
柳暗花明(吊 带 蕾 丝 的 诱 惑 还没说呢。。。

一般得显示注册信息什么的吧? 那就一定或多或少的用到 %这个字符,搜索这个全部下断,果然点关于时被断到了,然后,我们先按Ctrl+F8 ,
于是在调试器自动向下单步运行过程中,就发现了 久违的“过期” ,网站信息。。。。等,那个窗口上的字样。

THE END
喜欢就支持以下吧
点赞0
分享
评论 抢沙发
管埋员的头像-小北的自留地

昵称

取消
昵称