有壳程序逆向后打补丁，补丁运行一次后就删除

    软行天下下载的软件试着玩了下，霄鹞PDF转Word助手，一个vb程序。这个程序有壳，tElock 0.98b1 -> tE!。这个壳有工具也可以手动脱壳，但是我脱完壳后打不开程序，应该是有暗桩，试了退出和取文件大小都没成功，索性就不管了。直接带壳分析，大概看了下，我没有爆破注册项，只是想使用这个程序，所以就直接釜底抽薪，爆破了它的使用功能（生成word试用版只能生成三分之一页，生成jpg图片是带有水印的）注册项的爆破我没有动。还是显示试用版，打开软件弹出注册框。我利用inline patch，apihook生成补丁文件，爆破成功、
    现在的问题是：点击补丁文件后程序打开了，逆向成功，功能使用没有限制，但是补丁文件自动删除了。我不可能每次打开都生成一个文件吧。大家看看怎么回事。顺便提下要是能解决脱壳后的暗桩也可以。注册项的爆破很简单我懒的弄了。总感觉没有找到最重要的位置。改的地方有点多。
     我把安装包和补丁工具，以及补丁数据保存的方案已经打包了。可以用补丁工具打开看看我的方案。

这个程序就是专门检测安装目录下的补丁文件，有的话就删除

zz100179 发表于 2017-1-1 12:43
这个程序就是专门检测安装目录下的补丁文件，有的话就删除

分析的时候搜索字符串看到了有处地方有一个.exe和.dll。但是没找到思路。

zz100179 发表于 2017-1-1 12:43
这个程序就是专门检测安装目录下的补丁文件，有的话就删除

脱壳后的暗桩我找到了。GetModuleFileNameA利用这个函数终于找到了。

看来这100HB注定是我的啦，我刚才也测试一下，的确会删除，解决办法。打补丁的话。就用小黑的补丁就行了。选项里边有个随机补丁后缀。这样就不检测EXE文件删除了。

慕容吹雪 发表于 2017-1-1 13:11
看来这100HB注定是我的啦，我刚才也测试一下，的确会删除，解决办法。打补丁的话。就用小黑的补丁就行了。 ...

这个软件会自动搜索目录下的exe文件我刚才脱壳的的文件，只要运行原程序，就会删除目录下除了本程序多余的exe文件，如果我删除原程序，用脱壳后的文件逆向会提示非法。看来这软件暗桩很多啊。我先试试你的办法。小黑的补丁是哪个？你这个只是换个补丁工具啊，我的目的还是找到那个暗桩。

慕容吹雪 发表于 2017-1-1 13:11
看来这100HB注定是我的啦，我刚才也测试一下，的确会删除，解决办法。打补丁的话。就用小黑的补丁就行了。 ...

投机取巧哦的办法很多，其实我想了想。这个软件会检测目录下的文件是否完整，是根据文件名判断的，如果是多余的exe文件它会删除这些文件，应该有包含了dll文件，所以我们的补丁等文件会被删除，这个软件目录下有一个Update.EXE文件，如果是逆向文件那么这个有关升级的文件对我们来说没用，所以生成文件的时候就用这个Update。然后删除原来的Update.EXE文件，这个目的也能达到。对软件也没影响。

利用挟持补丁  因为有验效  去了  后就可以了

谢上特征码