一个难搞的SE2.4 PATCH后直接跑飞

unppnu · 发表于 2023-4-4 11:09

抒情gg 发表于 2023-4-2 13:19
https://c.wss.pet/s/avfb5cgqy9w 搞来看看

已发，期待您的成功！
还有那位大神能试试这个se壳的小工具。

抒情gg · 发表于 2023-4-4 14:33

unppnu 发表于 2023-4-4 11:09
已发，期待您的成功！
还有那位大神能试试这个se壳的小工具。

PY程序是双进程，并不是说有两层授权所以~~

boot · 发表于 2023-4-4 15:45

unppnu 发表于 2023-4-4 11:09
已发，期待您的成功！
还有那位大神能试试这个se壳的小工具。

我印象里有一个和这个类似，但具体样本已缺失，是论坛之前的悬赏。
py+se2.4，Patch第一次机器码并且允许后，会在已有进程基础上创建另外一个进程，额外再次弹出机器码窗口。或许确有更好的解决方案。我尝试用了一种比较经典的处理双进程的方法，但是没有解决。

unppnu · 发表于 2023-4-4 15:50

boot 发表于 2023-4-4 15:45
我印象里有一个和这个类似，但具体样本已缺失，是论坛之前的悬赏。
py+se2.4，Patch第一次机器码并且允许 ...

辛苦了。期待您的成功。这个是授权机的机器码界面。
授权机器码.png

unppnu · 发表于 2023-4-4 15:53

本帖最后由 unppnu 于 2023-4-4 15:55 编辑

boot 发表于 2023-4-4 15:45
我印象里有一个和这个类似，但具体样本已缺失，是论坛之前的悬赏。
py+se2.4，Patch第一次机器码并且允许 ...

这个是中间机器码。

boot · 发表于 2023-4-4 15:53

unppnu 发表于 2023-4-4 15:50
辛苦了。期待您的成功。这个是授权机的机器码界面。

是的，你可以开启Lord PE监视程序的进程。
在你的图中替换机器码，并禁用掉所有硬件/软件断点后。运行程序，此时会再次弹出机器码验证对话框。此时刷新Lord PE，你会发现多出了一个一模一样的进程，程序变成了双进程。

我用了一种经典的拦截双进程思路，但是无效。

unppnu · 发表于 2023-4-4 16:52

boot 发表于 2023-4-4 15:53
是的，你可以开启Lord PE监视程序的进程。
在你的图中替换机器码，并禁用掉所有硬件/软件断点后。运行程 ...

在本机替换机器码，并禁用掉(取消)所有硬件/软件断点后，运行程序后就跑飞。也没有再次弹出机器码验证对话框。

unppnu · 发表于 2023-4-4 18:01

是load pe的原因，换了个load pe貌似看到双进程了。

unppnu · 发表于 2023-4-4 19:25

boot 发表于 2023-4-4 15:53
是的，你可以开启Lord PE监视程序的进程。
在你的图中替换机器码，并禁用掉所有硬件/软件断点后。运行程 ...

换了几个OD，还是不能弹出机器码验证对话框。

unppnu · 发表于 2023-4-5 20:42

从跟踪分析，这个软件在第一次验证后，再次加载文件夹下同名exe文件，并备份第一次验证的exe文件为pkg文件。

		自动登录	找回密码
密码			立即注册