一款屏幕录像软件的分析
这里向各人介绍的这款软件叫Instant Demo,看过Lena151和TiGa教程的朋友应该熟悉了。空话未几说,开端分析。
分析一个软件,我们首先应该了解它都有哪些掩护和限制,官方网站如许形貌:The Trial version has no time limit and is fully functional. A Trial Version watermark is placed on demonstrations exported from Instant Demo.
好,我们本身再分析一下。安置后,第一次打开,发明标题栏和Help菜单About Instant Demo有Trial字样,还有Purchase Instant Demo选项。
有了大约印象,我们在做一个完整的录制看一下,首先创立的htm文件有Click here to Buy Instant Demo字样。其次录像文件中有水印,如果录制声音的话,还有噪音,等等。
有了团体了解,我们就可以开工了。首先用PEID察看无壳。好,我们开端分以下几个步调走。
一 修正标题栏
1.在cpu窗口中,右键选择 查找 -- 所有参考文本字串,然后右键 查找文本,不选区分大小写,勾选整个范畴
填入 Instant Demo Trial
2.确定后,Ctrl+L 来到地点00477FFB,直接回车,或右键选择反汇编窗口中追随,来到
00477FFB . 68 784E5500 push InstantD.00554E78 ; ASCII "Instant Demo Trial v%d.%2.2d - F1 for help"
3. CPU窗口中右键,数据窗口中追随立即数,二进制编辑,可以把Trial改为-Full,然后右键复制到可实行文件,再右键生存文件为InstantDemo1.exe。
二 修正Help -- About Instant Demo菜单
OD打开InstantDemo1.exe
1. 重复修正标题栏的第一步,
填入 Trial
确定后,来到第一处,地点00402676,直接回车,来到
00402676 . 68 80F65400 push InstantD.0054F680 ; ASCII "Instant Demo Trial",LF,"Software Version %d.%2.2d.%2.2d %s",LF,"%sNetPlay Software",LF,"Copyright (C) 2003-2009"
2. 重复修正标题栏的第三步把Trial改为-80ND或你想要的,此字符将表现在Help About Instant Demo中。然后右键复制到可实行文件,再右键生存文件为InstantDemo2.exe
三 删除Click here to Buy Instant Demo
OD打开InstantDemo2.exe
1. 重复修正标题栏的第一步,
填入 Click here to Buy Instant Demo
确定后,来到地点004873FD,直接回车,来到
004873FD |. 68 1C565500 push InstantD.0055561C ; ASCII "
Click here to Buy Instant Demo
"2. CPU窗口中右键,数据窗口中追随立即数,把1.htm用记事本打开参照一下
0055561C 3C 70 20 61 6C 69 67 6E 3D 22 63 65 6E 74 65 72
0055563C 3E 3C 66 6F 6E 74 20 73 69 7A 65 3D 22 36 22 3E >
0055564C 43 6C 69 63 6B 20 68 65 72 65 20 74 6F 20 42 75 Click here to Bu
0055565C 79 20 49 6E 73 74 61 6E 74 20 44 65 6D 6F 3C 2F y Instant Demo
0055566C 61 3E 3C 2F 70 3E a>
将以上右键二进制,用00添补,然后右键复制到可实行文件,再右键生存文件为InstantDemo3.exe。
四 去除水印
OD打开InstantDemo3.exe
1. 重复修正标题栏的第一步,填入 Trial
确定后,来到0041212F,如不在此处,用 Ctrl+L 。发明有ASCII "IDR_TRIAL_LOGO"字样,回车来到
0041212F |. 68 800B5500 push InstantD.00550B80 ; ASCII "IDR_TRIAL_LOGO"
向下滚动,查找意思为跳转到的向右的箭头,第一个来到
004121AE |> \8B4424 28 mov eax, dword ptr ss:[esp+28]
跳转来自0041210B,不是我们想要的,我们需要的是能跨过OffsetRect,Bitblt和"IDR_TRIAL_LOGO"的跳转,这里有些不睬解,早先开端想到是能跨过"IDR_TRIAL_LOGO"就行了。希望有人指点一下。我只是实验后发明的。
再向下滚动,来到
004121DE |> \8B4424 44 mov eax, dword ptr ss:[esp+44]
跳转来自00411D66,符合条件
00411D66 |. /0F84 72040000 je InstantD.004121DE
直接双击把je修正为jmp,然后复制到可实行文件,所有修正,重复下面的步调,生存为InstantDemo4.exe
五 去除噪音
如默认只包罗鼠标的声音,可省去这一步。OD打开InstantDemo4.exe
1. 重复修正标题栏的第一步,填入 denoise
确定后,来到地点004212B9,回车,追随立即数,选择_denoise.dat用00添补。复制到可实行文件,生存为InstantDemo5.exe。
2 打开InstantDemo5.exe
在cpu窗口中,右键选择 查找 -- 所有参考文本字串,重复下面。来到地点 00421313
反汇编追随,追随立即数,选择_denoise.wav用00添补。复制到可实行文件,生存为InstantDemo6.exe。
3. 打开InstantDemo6.exe
重复1,来到地点00426D1B 反汇编追随,追随立即数,选择_denoise用00添补。复制到可实行文件,生存为InstantDemo7.exe
去除噪音大约手动删除后缀为_denoise.dat和_denoise.wav的文件。
六 去除Help - Purchase Instant Demo
利用eXeScope或你喜欢的东西打开InstantDemo7.exe把菜单删除或变灰。
七 备份InstantDemo.exe 将InstantDemo7.exe更名为InstantDemo.exe
别的,去除水印那一步有些懵懂,只是被我实验乐成,希望有人指点一下。
另:第一次作文,有些乱,心里还有些没底,需要勇气!
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
