speedboy 发表于 2021-5-26 17:55:35

Movavi Video Suite 21.3.0 x64分析爆破

【文章标题】: Movavi Video Suite 21.3.0 x64分析爆破
【文章作者】: speedboy
【软件名称】: Movavi Video Suite
【下载地址】:
【加壳方式】: 无
【编写语言】: Microsoft Visual C++
【使用工具】: x64dbg
【操作平台】: win7
【软件介绍】: Movavi Video Suite 是一款十分好用且实用的令人羡慕的视频编辑工具。你可以通过使用它来做以下的事情:保存DVD视频到你的iPod或PSP中、转换你的视频通过电子邮件与朋友们分享、自动提高视频质量、添加虚拟效果、分割或拼接你的视频、分割备份或拷贝DVD、刻录CD与DVD的数据音频或视频。
【作者声明】: 只做学习、交流
--------------------------------------------------------------------------------
【详细过程】

1、程序运行后,打开关于会显示“试用天数剩余XX”字样,所以想到搜索“DaysLeft”这样的字符窜,试一下,得到如下结果:
000000013F1553CB lea rdx,qword ptr ds: " activationDaysLeft = "
000000013F16D2E3 lea rdx,qword ptr ds: "Expiration prolongated, DaysLeft = "
000000013F16D413 lea rdx,qword ptr ds: "Expiration prolongated, DaysLeft = "
000000013F16E953 lea rdx,qword ptr ds: "Expiration prolongated, DaysLeft = "
000000013F1703C3 lea rdx,qword ptr ds: "Expiration prolongated, DaysLeft = "
000000013F171DCE lea rdx,qword ptr ds: " DaysLeft = "
000000013F1726A4 lea rdx,qword ptr ds: "Expiration prolongated, DaysLeft = "
000000013F17C0E4 lea rdx,qword ptr ds: "GetActivationDaysLeft"
000000013F17C146 lea rdx,qword ptr ds: "DaysLeft"

2、看到了吧,第一行就出现“activationDaysLeft =”,双击此行来带反汇编区,上溯到代码段首,此程序段肯定是处理返回试用时间的,我们看哪里调用了此段程序。
000000013F155200   | 48:895C24 18          | mov qword ptr ss:,rbx                              |
000000013F155205   | 48:897424 20          | mov qword ptr ss:,rsi                              |
000000013F15520A   | 55                  | push rbp                                                   |
XXX*********XXX
XXX*********XXX
XXX*********XXX                                 |
000000013F1553A0   | 48:8D15 B9B12500      | lea rdx,qword ptr ds:                           | 000000013F3B0560:"LicenseControllerWin info : isTrial = "
000000013F1553A7   | E8 C4E2F4FF         | call suite.13F0A3670                                       |
000000013F1553AC   | 0FB657 08             | movzx edx,byte ptr ds:                              | rdi+8:"@F-"==&"郟-"
000000013F1553B0   | 48:8BC8               | mov rcx,rax                                                |
000000013F1553B3   | FF15 47BB0500         | call qword ptr ds:[<&??6?$basic_ostream@DU?$char_traits@D@ |
000000013F1553B9   | 48:8BC8               | mov rcx,rax                                                |
000000013F1553BC   | 48:8D15 81B12500      | lea rdx,qword ptr ds:                           | 000000013F3B0544:L","
000000013F1553C3   | E8 A8E2F4FF         | call suite.13F0A3670                                       |
000000013F1553C8   | 48:8BC8               | mov rcx,rax                                                |
000000013F1553CB   | 48:8D15 76B12500      | lea rdx,qword ptr ds:                           | 000000013F3B0548:" activationDaysLeft = "
000000013F1553D2   | E8 99E2F4FF         | call suite.13F0A3670                                       |
000000013F1553D7   | 8BD6                  | mov edx,esi                                                |
000000013F1553D9   | 48:8BC8               | mov rcx,rax               

3、在段首处右键——查找引用——选定的地址,会得到调用函数,双击此行来到反汇编区,把调用Call灭掉(修改为nop)就行了呗,我们试一下
000000013F14FD70call suite.13F155200

4、果然能行,程序正常运行,不会出现试用期结束和提示试用剩余天数了。


speedboy 发表于 2021-5-26 18:15:05

本帖最后由 speedboy 于 2021-5-26 18:17 编辑

21.2.0补丁仍有效

Movavi Video Suite 2021 21.2.0


https://www.chinapyg.com/thread-137992-1-1.html




wgz001 发表于 2021-5-27 08:11:13

我记得大白补丁导出函数好像可能通杀全站的
一个补丁全站{:lol:}

xyzjxlf 发表于 2021-5-27 08:19:35

老大的精品力作。

speedboy 发表于 2021-5-27 09:19:55

wgz001 发表于 2021-5-27 08:11
我记得大白补丁导出函数好像可能通杀全站的
一个补丁全站

大白补丁21.2.0仍能用

非诚勿扰 发表于 2021-5-27 10:00:59

表哥V5,顶起啦

speedboy 发表于 2021-5-28 08:07:23

补充说明:

如果视频转换过程中出现试用版的信息,猜测,可以把nop掉Call函数改为进入此call,在段首直接ret,这样的话,即使有通过堆栈方式调用的也应该没问题了,具体行不行,需要的各位测试吧。

chanxinccx 发表于 2021-5-31 09:20:37

牛*666。我的宝贝,感谢大佬分享

a6307a 发表于 2021-6-4 15:30:23

非常棒~!谢谢原创~!
页: [1]
查看完整版本: Movavi Video Suite 21.3.0 x64分析爆破