0x1 计划素材 0x2 信息收集

首先运行软件可以看到标签框“()”

其次sublime text 3 函数跳转，在菜单栏help-about中也有同样的字样

0x3 逆向分析

推

右键-搜索-当前模块-字符串

搜索关键词“”找到4条结果选择第一个

跟进

发现这个字符串中有一个jmp跳转跳过了“”，说明jmp没有执行，而你要找的命令还在里面

找到这里，发现je只是跳转到“未注册”。 里面的cmp比较rsi+5和0的值是否相等。 如果相等，则跳转到未注册。 尝试把rsi+5的值改成1，（这里虽然rsi+5是这个函数的第二个参数），这里我用来检查这个函数的第二个参数，虽然可以直接改。本来以为原来cmp中的调用是关键调用，最后发现不是，而是中断了5次返回值不一样，然后干脆hook了这个函数，分析后只是一个产品。

设置为1，发现软件没有未注册的单词

打完补丁以为没什么事发生，发现再次打开软件后需要点击帮助-关于才能清除未注册的软件。 这不是想要的结果。 继续分析，重新调试程序，下次访问断点时返回rsi+5sublime text 3 函数跳转，稍微修改一下脚本即可获取rsi+5的地址

访问断点

第一次拖也没用，看第二段出来的地方

发现可以得到rax+5=rsi+5，这里需要改一下，我们改成:[rax+0x5],0x1

如有侵权请联系删除！