大神论坛

找回密码
快速注册
查看: 1221 | 回复: 0

[原创] Movavi Video Suite 21.3.0 x64 最新版 爆破逆向分析教程

主题

帖子

15

积分

初入江湖

UID
18
积分
15
精华
威望
30 点
违规
大神币
68 枚
注册时间
2021-03-07 22:41
发表于 2021-05-28 21:55
本帖最后由 sliceso 于 2021-05-28 21:55 编辑

【文章标题】: Movavi Video Suite 21.3.0 x64分析爆破
【文章作者】: speedboy
【软件名称】: Movavi Video Suite
【下载地址】:
【加壳方式】: 无
【编写语言】: Microsoft Visual C++
【使用工具】: x64dbg
【操作平台】: win7
【软件介绍】: Movavi Video Suite 是一款十分好用且实用的令人羡慕的视频编辑工具。你可以通过使用它来做以下的事情:保存DVD视频到你的iPod或PSP中、转换你的视频通过电子邮件与朋友们分享、自动提高视频质量、添加虚拟效果、分割或拼接你的视频、分割备份或拷贝DVD、刻录CD与DVD的数据音频或视频。
【作者声明】: 只做学习、交流
--------------------------------------------------------------------------------
【详细过程】

1、程序运行后,打开关于会显示“试用天数剩余XX”字样,所以想到搜索“DaysLeft”这样的字符窜,试一下,得到如下结果:


000000013F1553CB lea rdx,qword ptr ds:[13F3B0548] " activationDaysLeft = "
000000013F16D2E3 lea rdx,qword ptr ds:[13F3B2A10] "Expiration prolongated, DaysLeft = "
000000013F16D413 lea rdx,qword ptr ds:[13F3B2A10] "Expiration prolongated, DaysLeft = "
000000013F16E953 lea rdx,qword ptr ds:[13F3B2A10] "Expiration prolongated, DaysLeft = "
000000013F1703C3 lea rdx,qword ptr ds:[13F3B2A10] "Expiration prolongated, DaysLeft = "
000000013F171DCE lea rdx,qword ptr ds:[13F3B2990] " DaysLeft = "
000000013F1726A4 lea rdx,qword ptr ds:[13F3B2A10] "Expiration prolongated, DaysLeft = "
000000013F17C0E4 lea rdx,qword ptr ds:[13F3B31C8] "GetActivationDaysLeft"
000000013F17C146 lea rdx,qword ptr ds:[13F3B30D0] "DaysLeft"


2、看到了吧,第一行就出现  “activationDaysLeft =”,双击此行来带反汇编区,上溯到代码段首,此程序段肯定是处理返回试用时间的,我们看哪里调用了此段程序。

000000013F155200   | 48:895C24 18          | mov qword ptr ss:[rsp+18],rbx                              |
000000013F155205 | 48:897424 20 | mov qword ptr ss:[rsp+20],rsi |
000000013F15520A | 55 | push rbp |
XXX*********XXX
XXX*********XXX
XXX*********XXX |
000000013F1553A0 | 48:8D15 B9B12500 | lea rdx,qword ptr ds:[13F3B0560] | 000000013F3B0560:"LicenseControllerWin info : isTrial = "
000000013F1553A7 | E8 C4E2F4FF | call suite.13F0A3670 |
000000013F1553AC | 0FB657 08 | movzx edx,byte ptr ds:[rdi+8] | rdi+8:"@F-"==&"郟-"
000000013F1553B0 | 48:8BC8 | mov rcx,rax |
000000013F1553B3 | FF15 47BB0500 | call qword ptr ds:[<&??6?$basic_ostream@DU?$char_traits@D@ |
000000013F1553B9 | 48:8BC8 | mov rcx,rax |
000000013F1553BC | 48:8D15 81B12500 | lea rdx,qword ptr ds:[13F3B0544] | 000000013F3B0544:L","
000000013F1553C3 | E8 A8E2F4FF | call suite.13F0A3670 |
000000013F1553C8 | 48:8BC8 | mov rcx,rax |
000000013F1553CB | 48:8D15 76B12500 | lea rdx,qword ptr ds:[13F3B0548] | 000000013F3B0548:" activationDaysLeft = "
000000013F1553D2 | E8 99E2F4FF | call suite.13F0A3670 |
000000013F1553D7 | 8BD6 | mov edx,esi |
000000013F1553D9 | 48:8BC8 | mov rcx,rax


3、在段首处右键——查找引用——选定的地址,会得到调用函数,双击此行来到反汇编区,把调用Call灭掉(修改为nop)就行了呗,我们试一下

000000013F14FD70  call suite.13F155200

4、果然能行,程序正常运行,不会出现试用期结束和提示试用剩余天数了。



附破解的之前的版本成品   https://www.dslt.tech/article-749-1.html

返回顶部