0x1 計(jì)劃素材 0x2 信息收集

首先運(yùn)行軟件可以看到標(biāo)簽框“()”

其次sublime text 3 函數(shù)跳轉(zhuǎn)，在菜單欄help-about中也有同樣的字樣

0x3 逆向分析

推

右鍵-搜索-當(dāng)前模塊-字符串

搜索關(guān)鍵詞“”找到4條結(jié)果選擇第一個(gè)

跟進(jìn)

發(fā)現(xiàn)這個(gè)字符串中有一個(gè)jmp跳轉(zhuǎn)跳過了“”，說明jmp沒有執(zhí)行，而你要找的命令還在里面

找到這里，發(fā)現(xiàn)je只是跳轉(zhuǎn)到“未注冊”。 里面的cmp比較rsi+5和0的值是否相等。 如果相等，則跳轉(zhuǎn)到未注冊。 嘗試把rsi+5的值改成1，（這里雖然rsi+5是這個(gè)函數(shù)的第二個(gè)參數(shù)），這里我用來檢查這個(gè)函數(shù)的第二個(gè)參數(shù)，雖然可以直接改。本來以為原來cmp中的調(diào)用是關(guān)鍵調(diào)用，最后發(fā)現(xiàn)不是，而是中斷了5次返回值不一樣，然后干脆hook了這個(gè)函數(shù)，分析后只是一個(gè)產(chǎn)品。

設(shè)置為1，發(fā)現(xiàn)軟件沒有未注冊的單詞

打完補(bǔ)丁以為沒什么事發(fā)生，發(fā)現(xiàn)再次打開軟件后需要點(diǎn)擊幫助-關(guān)于才能清除未注冊的軟件。 這不是想要的結(jié)果。 繼續(xù)分析，重新調(diào)試程序，下次訪問斷點(diǎn)時(shí)返回rsi+5sublime text 3 函數(shù)跳轉(zhuǎn)，稍微修改一下腳本即可獲取rsi+5的地址

訪問斷點(diǎn)

第一次拖也沒用，看第二段出來的地方

發(fā)現(xiàn)可以得到rax+5=rsi+5，這里需要改一下，我們改成:[rax+0x5],0x1

如有侵權(quán)請聯(lián)系刪除！