本帖最后由 星空~夜影 于 2024-03-19 22:11 编辑
https://www.zy35.com/ 一个CF付费外挂官网(其实可能是个骗子软件) 
解压后打开发现需要购买卡密才可以使用, 
年卡要365,月卡要80,十分坑人 
拖进StudyPE发现没有壳,再拖到OD里面
转到地址0x401000,发现有明显易语言特征,就可以使用易语言特征码 

直接ctrl+B搜索FF25 跳转 
在0x411200地址处 看到了push 0x52010001 其实主页面的那个窗体 在这里就可以使用push窗体大法, 可以用插件找到所有窗体,直接push即可,也可以搜索字符串,找到我们想要的窗体代码,这里使用第二种方法; 
直接搜索字符串,找到可疑的位置,双击进去; 
直接找到! 地址0x405F4A 处的 push 0x5201601E应该就是功能窗体 返回到地址0x411200处,可以将push 0x5201601E替换到原来的窗体 
然后我们就发现破解成功了,但是问题是,这样破解出来只是天卡/周卡用户,这个软件说仅兼容Win8系统,所有还不能用,我们继续破解 
再次搜索字符串,查找可疑位置:
双击字符串月卡和年卡
下个断点,然后按F9,然后我发现断不下来,于是我有往上面几个call代码都下了断点,就断下来了 
然后F8调试,发现这个jle跳过了月卡和年卡,我们可以直接将其nop或者改成jg 
然后再运行,就变成月卡/年卡用户了
但是经我小号测试,卖那么贵,居然还不能用!!!下面还有个到期时间没有显示,我以为是这个的问题,于是接着破解: 继续搜索字符串,找到 “到期时间:”,双击
看到两个push,第一个push应该就是到期的时间,第二个push就是 “到期时间”这个字符串了, 下断点 断在第一个push的位置 

在第一个push的位置,右键->数据窗口中跟随->内存地址 
在数据窗口中查看,这个地方是什么都没有的,经过测试,发现这个地址存储的应该是一个字符串指针 我们在下面一行地址 即0x005EA4A4处编辑字符串,再将0x005EA4A4存储到0x5EA494,因为是小端序,所以要如图存储: 
将这几处修改都打上补丁,就大功告成了! 
但是经过我的小号测试,发现毛用没有!可能这是个骗子软件,也可能是我的破解方式不对!
注:若转载请注明大神论坛来源(本贴地址)与作者信息。
|