欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  科技

记逆向小白的第一次vbsedit 9爆破及内存补丁制作过程

程序员文章站 2022-06-18 21:46:59
作为一个搞破解、逆向的小白,第一发文,请各位大神多指教。近期需要批量处理一些word和excel文档,开始一直用word的宏,但是发给同事用的时候同事老是不会啊。后来就想写一些vbs的脚本,让他们直接...

作为一个搞破解、逆向的小白,第一发文,请各位大神多指教。

近期需要批量处理一些word和excel文档,开始一直用word的宏,但是发给同事用的时候同事老是不会啊。后来就想写一些vbs的脚本,让他们直接双击运行就好了。可是写vbs脚本也需要调试的呀,没有合适的工具很恼火的。于是上网找到了vbsedit这么个工具,可是非注册版每次调试都会弹出一个提示框,等好多秒,找破解版要么版本太老,要么就是夹带私货的。于是就想自己动手试一下好了。

下载了x64dbg,启动,打开vbsedit.exe。点击start debugging 的按钮,弹出了注册对话框。

记逆向小白的第一次vbsedit 9爆破及内存补丁制作过程

有点懵。不知从何入手。于是就各种搜啊搜啊,最后决定从找对话框开始,搜索跨模块调用,输入“dialog”,出现了五个相关的调用:

记逆向小白的第一次vbsedit 9爆破及内存补丁制作过程

于是在第一项处下断点,重新跟到这里后发现是从1401087b4这一行运行来的,于是在这一行下断点。

记逆向小白的第一次vbsedit 9爆破及内存补丁制作过程

再次跟进来,停下后在右下角的栈区会看到对这个的调用来自vbsedit.00000000140107c8e,再转到这个调用点。

记逆向小白的第一次vbsedit 9爆破及内存补丁制作过程

然后在从这个调用点往后追溯,就这样追溯几次调用后就会找到一个貌似调用注册对话的地方:

记逆向小白的第一次vbsedit 9爆破及内存补丁制作过程

就这个call <vbsedit.#所有对话框>调用(当然后面的注释都是我跟的时候自己加的),先试试nop掉它。

记逆向小白的第一次vbsedit 9爆破及内存补丁制作过程

再次运行,注册对话框不弹了。再试了试其他功能,一切正常。成功!

同样的方法,可以把单步调试等弹注册对话框的地方都找到,同样nop掉。启动的注册对话框有一个jne的判断,改成je就好了。

然后就是修补文件,另存了exe。再次运行打了补丁的文件,结果一闪而过,程序运行不了啦。

原来这程序有自校验,一个字节都不能改,改了就不能正常运行。要么是没法正常退出,要么是没有语法高亮,总之各种不正常。

怎么办呢?继续破自校验? 算了,对我这个小白来说这个难度有点太大了。

考虑到用x64dbg打开直接在内存修改后可以正常运行,应该说找的爆破位置还是对的,所以如果打个内存补丁应该是可行的。

内存补丁怎么弄呢?没整过耶,于是又是搜啊搜啊,找到了用dll劫持注入打补丁的方法。

试了试常用的version.dll,发现这个dll是可以利用的。接下来就是需要自己写一个version.dll用来劫持并打内存补丁啦。

祭出了aheadlib这个工具,选择简单的直接转发函数,生成了version.cpp。

记逆向小白的第一次vbsedit 9爆破及内存补丁制作过程

然后在入口函数里加上自己打补丁的代码就好了,代码如下:(小白水平,勿喷)

#include <windows.h>
#include <stdio.h>
 
// 导出函数
#pragma comment(linker, "/export:getfileversioninfoa=c:\\windows\\system32\\version.dll.getfileversioninfoa,@1")
#pragma comment(linker, "/export:getfileversioninfobyhandle=c:\\windows\\system32\\version.dll.getfileversioninfobyhandle,@2")
#pragma comment(linker, "/export:getfileversioninfoexa=c:\\windows\\system32\\version.dll.getfileversioninfoexa,@3")
#pragma comment(linker, "/export:getfileversioninfoexw=c:\\windows\\system32\\version.dll.getfileversioninfoexw,@4")
#pragma comment(linker, "/export:getfileversioninfosizea=c:\\windows\\system32\\version.dll.getfileversioninfosizea,@5")
#pragma comment(linker, "/export:getfileversioninfosizeexa=c:\\windows\\system32\\version.dll.getfileversioninfosizeexa,@6")
#pragma comment(linker, "/export:getfileversioninfosizeexw=c:\\windows\\system32\\version.dll.getfileversioninfosizeexw,@7")
#pragma comment(linker, "/export:getfileversioninfosizew=c:\\windows\\system32\\version.dll.getfileversioninfosizew,@8")
#pragma comment(linker, "/export:getfileversioninfow=c:\\windows\\system32\\version.dll.getfileversioninfow,@9")
#pragma comment(linker, "/export:verfindfilea=c:\\windows\\system32\\version.dll.verfindfilea,@10")
#pragma comment(linker, "/export:verfindfilew=c:\\windows\\system32\\version.dll.verfindfilew,@11")
#pragma comment(linker, "/export:verinstallfilea=c:\\windows\\system32\\version.dll.verinstallfilea,@12")
#pragma comment(linker, "/export:verinstallfilew=c:\\windows\\system32\\version.dll.verinstallfilew,@13")
#pragma comment(linker, "/export:verlanguagenamea=c:\\windows\\system32\\version.dll.verlanguagenamea,@14")
#pragma comment(linker, "/export:verlanguagenamew=c:\\windows\\system32\\version.dll.verlanguagenamew,@15")
#pragma comment(linker, "/export:verqueryvaluea=c:\\windows\\system32\\version.dll.verqueryvaluea,@16")
#pragma comment(linker, "/export:verqueryvaluew=c:\\windows\\system32\\version.dll.verqueryvaluew,@17")
 
 
//宏 debug("format string",arg1,arg2,...)
//用于debug调试信息输出,用法同 printf
#ifdef _debug
#define debug(...) dllprintf(__va_args__) 
#else
#define debug(...) 
#endif
 
int dllprintf(char *fmt,...)
{
	//dll调试时打开控制台窗口显示调试信息
	//用法同printf
 
	va_list argptr;
	va_start(argptr,fmt);
	char buffer[512] ={0};
	int cnt = vsprintf_s(buffer,fmt,argptr);
	va_end(argptr);
 
	static handle ghconsole = invalid_handle_value;
	if(invalid_handle_value == ghconsole)
	{
		allocconsole();
		ghconsole = getstdhandle(std_output_handle);
	}
	dword dw;
	writeconsole(ghconsole ,buffer,(dword)strlen(buffer),&dw,null);
	return cnt;
}
 
void patch(void)
{
	dword dwprocessid;
	dwprocessid = getcurrentprocessid();
 
	handle hprocess;
	hprocess = openprocess(process_all_access,false,dwprocessid);
	if(hprocess == 0){
		debug("open process error \n");
	}else
	{
		debug("the hprocess is : %x\n",(int)hprocess);
	}
 
	lpvoid lpaddressstart,lpaddressdebug,lpaddressdebugstep;
 
	lpaddressstart=(lpvoid)0x000000014009147f;//启动注册框的爆破地址
	lpaddressdebug=(lpvoid)0x00000001400e3ed7;//debug对话框的爆破地址
	lpaddressdebugstep=(lpvoid)0x00000001400da343;//debug step over对话框的爆破地址
 
	char je=0x74;//je指令
	size_t dwnumberofbytesread;
	dwnumberofbytesread=0;
 
	if(writeprocessmemory(hprocess,lpaddressstart,&je,sizeof(je),&dwnumberofbytesread))
	{
		debug("%d byte writed,start dialog patch ok!\n ",dwnumberofbytesread);
	}else
	{
		debug("read error:%d \n", getlasterror());
 
	}
 
 
	unsigned char temp[5]={0x90,0x90,0x90,0x90,0x90};
 
	if(writeprocessmemory(hprocess,lpaddressdebug,&temp,sizeof(temp),&dwnumberofbytesread))
	{
		debug("%d byte writed,debug dialog patch ok!",dwnumberofbytesread);
	}else
	{
		debug("read error:%d \n", getlasterror());
 
	}
 
 
	if(writeprocessmemory(hprocess,lpaddressdebugstep,&temp,sizeof(temp),&dwnumberofbytesread))
	{
		debug("%d byte writed,debug step over dialog patch ok!",dwnumberofbytesread);
	}else
	{
		debug("read error:%d \n", getlasterror());
 
	}
 
	closehandle(hprocess);
}
 
// 入口函数
bool winapi dllmain(hmodule hmodule, dword dwreason, pvoid pvreserved)
{
	if (dwreason == dll_process_attach)
	{
		disablethreadlibrarycalls(hmodule);
 
		patch();
 
	}
	else if (dwreason == dll_process_detach)
	{
	}
 
	return true;
}

代码很简单,有个地方我犯过错误,这里记录一下:

导出函数的#pragma comment(linker, "/export:getfileversioninfoa=c:\\windows\\system32\\version.dll.getfileversioninfoa,@1") 其中 c:\\windows\\system32\\version.dll这个地方,这是用于64位程序的,所以是这个路径。也可以写成改名后的dll文件名,比如你把原version.dll文件改成了oldversion.dll,那么就写成#pragma comment(linker, "/export:getfileversioninfoa=oldversion.dll.getfileversioninfoa,@1") 就可以了。不过这样你需要把oldversion.dll 同样拷贝到vbsedit.exe的同目录。如果是我的写法就只需要把生成的version.dll拷贝到vbsedit.exe程序目录就行了。

另外dll在控制台输出调试信息的方法我也是找了好久,开始一直用messagebox,很痛苦的。

爆破地址只能适用于vbsedit 9.1226版本。

生成的version.dll拷贝到vbsedit.exe的同目录即可。

记逆向小白的第一次vbsedit 9爆破及内存补丁制作过程

再次运行,这次没有了注册提示框。打开几个vbs文件,试了试编辑、调试等功能,测试一切正常,成功!

总结:破解逆向好像也没那么难,呵呵! 我也行 ^_^

到此这篇关于记逆向小白的第一次vbsedit 9爆破及内存补丁制作的文章就介绍到这了,更多相关vbsedit 9爆破及内存补丁内容请搜索以前的文章或继续浏览下面的相关文章希望大家以后多多支持!