FoneLab 8.0.18 简单分析 + 通杀补丁源码
官方网站:http://www.aiseesoft.com/iphone-data-recovery/目标文件云盘下载:http://yunpan.cn/cghzivP6eXQam (提取码:4973)
几天不见,发现过期了,简单分析下,该软件是QT的工程,定位的时候要适时的跳出QT库,否则大多都是花费时间。分析和定位部分其实是关键,不过这里简单掠过,大家可以自行调试来定位关键点。
574F4BD0 >/64:A1 0000000>MOV EAX, DWORD PTR FS: ;注册 ....
574F4BD6|.6A FF PUSH -1
574F4BD8|.68 DCEB5357 PUSH Framewor.5753EBDC
574F4BDD|.50 PUSH EAX
往下看发现这两个函数一个为验证注册码是否OK,一个为联网验证是否通过。
574F4DF2|> \55 PUSH EBP
574F4DF3|.8D4C24 38 LEA ECX, DWORD PTR SS:
574F4DF7|.51 PUSH ECX
574F4DF8|.8D5424 1C LEA EDX, DWORD PTR SS:
574F4DFC|.52 PUSH EDX
574F4DFD|.8D4424 1C LEA EAX, DWORD PTR SS:
574F4E01|.50 PUSH EAX
574F4E02|.8BCE MOV ECX, ESI
574F4E04|.E8 07B3FFFF CALL Framewor.?isLegalRegisterCode@AkClientAuthorization@@IAE_NABVQString@@0AA_NAAV>
574F4E09|.84C0 TEST AL, AL
574F4E0B|.75 0A JNZ SHORT Framewor.574F4E17
574F4E0D|.BF 02000000 MOV EDI, 2
574F4E12|.E9 6E020000 JMP Framewor.574F5085
574F4E17|>E8 54A90100 CALL Framewor.?instance@AkProductInfo@@SAPAV1@XZ
574F4E1C|.8BC8 MOV ECX, EAX
574F4E1E|.E8 CDEF0100 CALL Framewor.?isSupportServerAuthorization@AkProductInfo@@QBE_NXZ
574F4E23|.84C0 TEST AL, AL
574F4E25|.75 24 JNZ SHORT Framewor.574F4E4B
574F4E27|.8B3D 2C755457 MOV EDI, DWORD PTR DS:[<&QtCore4.??4QString@@QAEAAV0@ABV0@@Z>] ;QtCore4.??4QString@@QAEAAV0@ABV0@@Z
574F4E2D|.8D4C24 14 LEA ECX, DWORD PTR SS:
574F4E31|.51 PUSH ECX
574F4E32|.8D4E 20 LEA ECX, DWORD PTR DS:
574F4E35|.FFD7 CALL NEAR EDI ;<&QtCore4.??4QString@@QAEAAV0@ABV0@@Z>
574F4E37|.8D5424 10 LEA EDX, DWORD PTR SS:
574F4E3B|.52 PUSH EDX
574F4E3C|.8D4E 24 LEA ECX, DWORD PTR DS:
574F4E3F|.FFD7 CALL NEAR EDI
574F4E41|.BF 01000000 MOV EDI, 1
574F4E46|.E9 3A020000 JMP Framewor.574F5085
由于这两个函数是导出,我们便可以得出一个通杀方案。在X64和X86平台测试,用老飘的劫持工具得知,改程序都加载winmm.dll,遂用AheadLib快速生成一个劫持代码,简单修改下,然后 detours HOOK 这两个API,DLL中我们自行写入注册信息就完成了通杀劫持补丁。简单写了个代码,具体的看代码吧。
沙发是我的! 你抢我沙发。。。5555 谢谢!下载来学习学习! 哇,突然发现要10块大洋,{:soso_e113:}等待内部特供。。。 前来学习。 {:soso_e121:} 小卖一笔 ~
其实注册这个大函数,关键点就在于 MOVEDI, 1 想爆的话直接咔嚓这里就OK了,但是这样就无法保存key了,对了,程序注册完成保存key的时候又去调网验了,同一个函数,莫怕。 顶起来了,感谢分享了 抢不到沙发了,呜呜~~~ 最近沙发这么紧俏?