程序地带

Proxifier逆向分析(Windows)


Proxifier这里就不多介绍了,详细介绍可以看上一篇文章,这里直接进入主题带大家分析Proxifier的Windows版本。


Windows端逆向分析


环境与工具


    windows 10任意版本


    frida


    ida


    X64dbg


    vscode


    010editor    


去官网下载最新windows版本,运行效果如下图所示。


图片


这里就不带大家怎么看什么写的了(方法一样是查看所有模块),我们注册看看有什么效果,如下图所示。


图片


网上找个key试试,如下图所示,是可以用的,但是我们还是要分析下,学习是本文的重点。


图片


还原镜像到未激活状态,同样的思路我们先用frida挂上去trace弹框,如下图所示。


图片


写代码hook弹框函数打印堆栈(先用010editor去掉随机地址,这里没讲了,不懂可以问作者。)试试,如下图所示。


图片


直接去ida定位到这个函数,然后去找引用,发现函数太多了,如下图所示。


图片


这里再加一个工具,用x64dbg附加上去下弹框api断点(x64dbg详细视频教程可以联系作者。),通过调试一路返回到函数地址0x140041520,然后去ida查看这个函数,如下图所示。


图片


图片


发现有很明显的提示信息,我们用ida查看这个函数的引用可以看出成功的提示信息,如下图所示。


图片


图片


继续用x64dbg动态调试,修改sub_140041520函数返回值看看效果,如下图所示。


图片


图片


图片


发现分析路线是正确的,我们修改下系统时候看看是否真的成功,如图片所示。


图片


图片


然而很遗憾并没有,因此只能继续分析sub_140041520函数,进入发现有添加注册表信息,还有提示显示多少天,如图所示。


图片


通过调试这个函数找到获取时间的地方,修改一些逻辑,发现确实是这个检测函数。


图片


图片


那我们直接可以修改(或者hook获取时间逻辑函数。)这个函数,达到永久注册效果,如图所示。


图片


图片


测试功能正常,如下图所示。


图片


图片


图片


图片


其实这里也可以从其它方面入手,比如从上篇分析mac一样下点击事件函数,或者下设置窗口文字api断点(SetWindowTextW),一样可以分析,本方只是简单写了一些文字和添加了一些图片,具体工具使用基础详细教程可以联系作者,只有自己动手操作才是真的学到。


 


Proxifier逆向分析(Mac)


 


大佬们留个关注再走呗,后续精彩文章不断图片


图片


版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011426115/article/details/112689374

随机推荐

pcie扰码的作用_PCIe扫盲——128/130b编码详解

前面的文章介绍过PCIe的Gen1和Gen2模式下,物理层使用的是8b/10b的编码。这种编码方式能够实现直流均衡,并且能将数据流中的连0连1控制在5个以内(最多5个连续的...

比个那噶 阅读(929)

Spark SQL

Spark SQL

CatalystOptimizer在投影上找到过滤器检查筛选器是否可以在投影之前进行计算如果是,则切换操作selectnamefrom(selectid,namefrompeople)p...

超电磁手炮 阅读(271)

86. 分隔链表(中等)

86. 分隔链表(中等)

上个月还遇到一道类似题,给的是数据,上代码...

Enter_灵猴 阅读(985)

ospf协议_【干货】精通网红OSPF协议---进阶篇

ospf协议_【干货】精通网红OSPF协议---进阶篇

链路状态信息的理解OSPF作为链路状态路由协议,不直接传递各路由器的路由表,而传递链路状态信息,各路由器基于链路状态信息独立计算路由。所有路由器各自维护一个链...

weixin_39661589 阅读(866)

abs int 宏定义_C语言之函数与宏定义。

需要注意的几点:1.储存类型符指的是函数的作用范围,它有两种形式:static和extern。static说明的函数只能作用于其所在的源文件,它...

weixin_39755003 阅读(223)

java日期分割大法

将时间段按[日,周,月]进行分割.importjava.text.DateFormat;importjava.text.ParsePosition;importjava.text.SimpleDate...

gun_008 阅读(260)

Chrome 88版本正式推出 CPU占用率减少了5倍

Chrome 88版本正式推出 CPU占用率减少了5倍

Chrome88停止支持FTP,不再支持ftp://开头网址,这是基于使用率低、且缺乏加密存在资安风险的考量。新增了PDF功能,使其可以显示PDF元数据或者说...

游综宅 阅读(262)

LeetCode T28 Implement strStr()

题目地址:中文:https://leetcode-cn.com/problems/implement-strstr/英文:https://leetcode.c...

之虎者也 阅读(587)