【文章标题】: Movavi Video Suite 21.3.0 x64分析爆破
【文章作者】: speedboy
【软件名称】: Movavi Video Suite
【下载地址】:
【加壳方式】: 无
【编写语言】: Microsoft Visual C++
【使用工具】: x64dbg
【操作平台】: win7
【软件介绍】: Movavi Video Suite 是一款十分好用且实用的令人羡慕的视频编辑工具。你可以通过使用它来做以下的事情:保存DVD视频到你的iPod或PSP中、转换你的视频通过电子邮件与朋友们分享、自动提高视频质量、添加虚拟效果、分割或拼接你的视频、分割备份或拷贝DVD、刻录CD与DVD的数据音频或视频。
【作者声明】: 只做学习、交流
--------------------------------------------------------------------------------
【详细过程】
1、程序运行后,打开关于会显示“试用天数剩余XX”字样,所以想到搜索“DaysLeft”这样的字符窜,试一下,得到如下结果:
[Asm] 纯文本查看 复制代码 000000013F1553CB lea rdx,qword ptr ds:[13F3B0548] " activationDaysLeft = "
000000013F16D2E3 lea rdx,qword ptr ds:[13F3B2A10] "Expiration prolongated, DaysLeft = "
000000013F16D413 lea rdx,qword ptr ds:[13F3B2A10] "Expiration prolongated, DaysLeft = "
000000013F16E953 lea rdx,qword ptr ds:[13F3B2A10] "Expiration prolongated, DaysLeft = "
000000013F1703C3 lea rdx,qword ptr ds:[13F3B2A10] "Expiration prolongated, DaysLeft = "
000000013F171DCE lea rdx,qword ptr ds:[13F3B2990] " DaysLeft = "
000000013F1726A4 lea rdx,qword ptr ds:[13F3B2A10] "Expiration prolongated, DaysLeft = "
000000013F17C0E4 lea rdx,qword ptr ds:[13F3B31C8] "GetActivationDaysLeft"
000000013F17C146 lea rdx,qword ptr ds:[13F3B30D0] "DaysLeft"
2、看到了吧,第一行就出现 “activationDaysLeft =”,双击此行来带反汇编区,上溯到代码段首,此程序段肯定是处理返回试用时间的,我们看哪里调用了此段程序。
[Asm] 纯文本查看 复制代码 000000013F155200 | 48:895C24 18 | mov qword ptr ss:[rsp+18],rbx |
000000013F155205 | 48:897424 20 | mov qword ptr ss:[rsp+20],rsi |
000000013F15520A | 55 | push rbp |
XXX*********XXX
XXX*********XXX
XXX*********XXX |
000000013F1553A0 | 48:8D15 B9B12500 | lea rdx,qword ptr ds:[13F3B0560] | 000000013F3B0560:"LicenseControllerWin info : isTrial = "
000000013F1553A7 | E8 C4E2F4FF | call suite.13F0A3670 |
000000013F1553AC | 0FB657 08 | movzx edx,byte ptr ds:[rdi+8] | rdi+8:"@F-"==&"郟-"
000000013F1553B0 | 48:8BC8 | mov rcx,rax |
000000013F1553B3 | FF15 47BB0500 | call qword ptr ds:[<&??6?$basic_ostream@DU?$char_traits@D@ |
000000013F1553B9 | 48:8BC8 | mov rcx,rax |
000000013F1553BC | 48:8D15 81B12500 | lea rdx,qword ptr ds:[13F3B0544] | 000000013F3B0544:L","
000000013F1553C3 | E8 A8E2F4FF | call suite.13F0A3670 |
000000013F1553C8 | 48:8BC8 | mov rcx,rax |
000000013F1553CB | 48:8D15 76B12500 | lea rdx,qword ptr ds:[13F3B0548] | 000000013F3B0548:" activationDaysLeft = "
000000013F1553D2 | E8 99E2F4FF | call suite.13F0A3670 |
000000013F1553D7 | 8BD6 | mov edx,esi |
000000013F1553D9 | 48:8BC8 | mov rcx,rax
3、在段首处右键——查找引用——选定的地址,会得到调用函数,双击此行来到反汇编区,把调用Call灭掉(修改为nop)就行了呗,我们试一下
[Asm] 纯文本查看 复制代码 000000013F14FD70 call suite.13F155200
4、果然能行,程序正常运行,不会出现试用期结束和提示试用剩余天数了。
| 
IP卡
发表于 2021-5-26 17:55:35
提升卡
置顶卡
变色卡
千斤顶
显身卡
楼主
发表于 2021-5-27 08:11:13
发表于 2021-5-27 08:19:35
发表于 2021-5-31 09:20:37
