简单破解Beyond Compare 4网络验证黑名单过程【下】

信息安全 1052 Views

第二部分,也就是作业网络验证注册ID是否吊销肯定会存本地的,不会每次都验证,所以不是存文件就是存注册表,我用Procmon来监控BCompare.exe主进程的文件和注册表行为,通过排查发现这个地方是关键啦

%appdata%\Scooter Software\Beyond Compare 4\BCState.xml

你问我怎么知道这是关键?其实我开始也不知道,注册表看了一圈没什么特别的,文件无非是ini或者xml,看了下文件操作就这个最可疑,不出所料,就是他了,通过删除部分内容,就发现可以跳过检测黑名单了,其实就是一个键值“CheckID Value”来决定你是不是黑名单啦

<?xml version="1.0" encoding="UTF-8"?><!-- Produced by Beyond Compare 4 from Scooter Software --><BCState Version="1" MinVersion="1"> <TCheckForUpdatesState> <CheckID Value="128717528879165"/> </TCheckForUpdatesState></BCState>

我们前面虽然没说黑名单存在哪,但也通过分析破解了黑名单,现在我们知道了黑名单的位置,回想一下是不是有更好的破解办法?当当当,我就去之前IDR生成的map文件里搜“CheckID”这个字符串,看到熟悉的内容了:

0001:0064A60C DlgCheckForUpdates.TCheckForUpdatesState.UpdateRevoked 这个不就是上面检测黑名单的地方吗? Address: 00a4b60c0001:0064A73C DlgCheckForUpdates.TCheckForUpdatesState.GetCheckID 看名字就知道这货是获取黑名单内容的了? Address: 00a4b73c0001:0064A7A4 DlgCheckForUpdates.TCheckForUpdatesState.SetCheckID 看名字就知道黑名单内容是你写的了? Address: 00a4b7a4

类名轻松的就知道了关键点在哪,通过调试分析也确认了分析过程是对的,先本地GetCheckID获取本地存储的黑名单内容,再通过UpdateRevoked函数来判断本地注册名是否在黑名单,如果不在那就去网络检测下这个ID是否吊销顺便看看是否有升级,之后通过SetCheckID把新的内容写进去方便下次启动检测。所以最后我把破解方法修改为直接把get和set给retn掉,这样就不会产生黑名单了,自然检测也不会有问题:

[Asm]

?

01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
00A4B73C > . 53 push ebx //retn ; DlgCheckForUpdates.TCheckForUpdatesState.GetCheckID
00A4B73D . 83C4 F8add esp,-0x8
00A4B740 . 8BD8mov ebx,eax
00A4B742 . B8 FF000000mov eax,0xFF
00A4B747 . E8 B4969BFFcall <BCompare.System.Random>
00A4B74C . 99cdq
00A4B74D . 8BD0mov edx,eax
00A4B74F . C1E2 08shl edx,0x8
00A4B752 . 33C0xor eax,eax
00A4B754 . 52push edx
00A4B755 . 50push eax
00A4B756 . 8B43 40mov eax,dword ptr ds:[ebx+0x40]
00A4B759 . 99cdq
00A4B75A . 52push edx
00A4B75B . 50push eax
00A4B75C . 8B43 44mov eax,dword ptr ds:[ebx+0x44]
00A4B75F . 99cdq
00A4B760 . 0FA4C2 09shld edx,eax,0x9
00A4B764 . C1E0 09shl eax,0x9
00A4B767 . 030424add eax,dword ptr ss:[esp]
00A4B76A . 135424 04adc edx,dword ptr ss:[esp+0x4]
00A4B76E . 83C4 08add esp,0x8
00A4B771 . 52push edx
00A4B772 . 50push eax
00A4B773 . 8B43 48mov eax,dword ptr ds:[ebx+0x48]
00A4B776 . 99cdq
00A4B777 . 0FA4C2 0Cshld edx,eax,0xC
00A4B77B . C1E0 0Cshl eax,0xC
00A4B77E . 030424add eax,dword ptr ss:[esp]
00A4B781 . 135424 04adc edx,dword ptr ss:[esp+0x4]
00A4B785 . 83C4 08add esp,0x8
00A4B788 . 030424add eax,dword ptr ss:[esp]
00A4B78B . 135424 04adc edx,dword ptr ss:[esp+0x4]
00A4B78F . 83C4 08add esp,0x8
00A4B792 . 890424mov dword ptr ss:[esp],eax
00A4B795 . 895424 04mov dword ptr ss:[esp+0x4],edx
00A4B799 . 8B0424mov eax,dword ptr ss:[esp]
00A4B79C . 8B5424 04mov edx,dword ptr ss:[esp+0x4]
00A4B7A0 . 59pop ecx
00A4B7A1 . 5Apop edx
00A4B7A2 . 5Bpop ebx
00A4B7A3 . C3retn
00A4B7A4 > . 55push ebp //retn 8 ; DlgCheckForUpdates.TCheckForUpdatesState.SetCheckID
00A4B7A5 . 8BECmov ebp,esp
00A4B7A7 . 8BC8mov ecx,eax
00A4B7A9 . 8B45 08mov eax,dword ptr ss:[ebp+0x8]
00A4B7AC . 25 FF010000and eax,0x1FF
00A4B7B1 . 8941 40mov dword ptr ds:[ecx+0x40],eax
00A4B7B4 . 8B45 08mov eax,dword ptr ss:[ebp+0x8]
00A4B7B7 . 8B55 0Cmov edx,dword ptr ss:[ebp+0xC]
00A4B7BA . 81E0 00060000and eax,0x600
00A4B7C0 . 33D2xor edx,edx
00A4B7C2 . 0FACD0 09shrd eax,edx,0x9
00A4B7C6 . C1EA 09shr edx,0x9
00A4B7C9 . 8941 44mov dword ptr ds:[ecx+0x44],eax
00A4B7CC . 8B45 08mov eax,dword ptr ss:[ebp+0x8]
00A4B7CF . 8B55 0Cmov edx,dword ptr ss:[ebp+0xC]
00A4B7D2 . 81E0 00F0FFFFand eax,0xFFFFF000
00A4B7D8 . 81E2 FF000000and edx,0xFF
00A4B7DE . 0FACD0 0Cshrd eax,edx,0xC
00A4B7E2 . C1EA 0Cshr edx,0xC
00A4B7E5 . 8941 48mov dword ptr ds:[ecx+0x48],eax
00A4B7E8 . 5Dpop ebp
00A4B7E9 . C2 0800retn 0x8

好了,差不多就这样,我把出现问题的文件放上来,自己替换到上面那个位置,重新打开程序就会出现吊销出错那个对话框了。其实可以做个通用替换补丁,搞个劫持DLL,升级也不怕了。广告来了!!!吾爱云盘,最牛最新的在线破解工具包 http://down.52pojie.cn/Tools/看来云盘不能直接放原版和key了,稍后做一个绿色版,去除黑名单和升级机制,打包一个绿色的放上去吧,方便使用。

Beyond Compare Pro v4.0.5.19480 绿色破解版http://www.52pojie.cn/thread-334389-1-1.html

–推荐给朋友

公众微信号:吾爱破解论坛

或搜微信号:pojie_52

↑↑↑↑↑↑↑

长按图片即可关注!

–内容分享

点击右上角“…”标志,分享到朋友圈

–更多精彩内容

请点击右上角“…”标志,点击“查看公众号”,往下拉一点再点击“查看历史消息”即可!

–官方论坛

www.52pojie.cn

如未说明则本站原创,转载请注明出处:NULL » 简单破解Beyond Compare 4网络验证黑名单过程【下】