010Editor v11.0.1 破解记录
in 软件破解逆向工程 with 1 comment

010Editor v11.0.1 破解记录

in 软件破解逆向工程 with 1 comment

1.前言

在学习逆向工程的过程中有需要对PE文件进行解析的工具,之前恰好听说了010Editor的大名,遂决定下载010Editor,结果下载完了发现不是免费的……恰好学习逆向,决定尝试进行破解

2.工具准备和知识需求

工具:x64dbg 010Editor 11.0.1(官网下载)

知识需求:基本的汇编知识,反汇编软件如x64dbg的基础操作(其实咱学的是od,不过无奈下载的是64位的010Editor,就下载了个x64dbg,惊喜发现x64dbg基本是od的64位升级版,很好操作)

3.分析过程

1.首先在010Editor官网下载安装包进行安装https://www.sweetscape.com/010editor/
安装完页面打开文件所在位置(注:这里是windows系统下的破解),如图1图1

2.双击010Editor.exe打开010Editor软件,尝试进行注册,选择Help-About-Register进入注册页面,随便输入用户名和密码
如图2 得到输入错误的密码提示Invalid name or password... 图2

3.首先拿PEid扫了一下010Editor.exe,发现扫不出来,暂时我判断不了加没加壳,打开x64dbg,拖入010Editor.exe,搜索字符串Invalid name or password,成功在00007FF7675A4526位置发现字符串,嗯,꒰⑅•ᴗ•⑅꒱字符串所在区域应该没加壳
如图3图3

4.下拉x64dbg发现关键字符串Password accepted. This license entitles……,如图4.图4

这应该就是注册成功会出现字符串,因为成功字符串和失败字符串相差不远,可以猜测是条件判断实现,在00007FF7675A3f30处函数入口下断点(F2),如图5图5

5.重载,运行(F9)同样随便输入用户名和密码,点击注册,进行单步调试,发现00007FF7675A446B位置的指令jne 010editor.7FF7675A4521执行后跳转到注册失败字符串,如图6.图6

认为这是关键跳转语句,使用nop覆盖,如图7,图7

运行后发现出现Password accepted but the trial peiod is already……提示框,发现破解失败,如图8图8

6.回头上拉,发现在之前的单步调试中因为步进太快略过了Password accepted. This license entitles……字符串,再次调试,发现在00007FF7675A42BA存在跳转关键点3,如图9.图9

使用上述方法使用nop覆盖跳转语句,如图10.图10

7.继续运行,发现破解成功。如图11,图11

8.右键-补丁-修补文件.破解完成

4.总结

这次算是逆向工程学习以来的第一次真正的对一个实际软件进行逆向分析,这里采用了暴力的nop法进行破解实在是用ida分析算法实现注册机的过程对目前的我来说还有点复杂了,毕竟我还只是个新手,以后掌握了更深的一些re知识点有机会会再实现一次注册机破解法哒(参考dl的注册机https://www.52pojie.cn/forum.php?mod=viewthread&tid=1089329&highlight=010Editor),感谢观看!

留下jio印
  1. xpy

    测试

    Reply