本帖最后由 冥界3大法王 于 2026-4-19 08:51 编辑
临时论坛下一个。。以就急使用。
啥。。。刚安装。。就让我升级。。。
晕,不能忍。。到目录一看一个主程序 updateXX.exe 还有一个类似的DLL,直接扔回收站。
赶紧打开x64dbg火速开始调试。。。
直接Ctrl+F8跑起,不久弹窗。。。
出现了 。。。说什么直接升级不支持旧版本,晕死。
F12 ==>Alt+K 堆栈反推。。。 发现有两 ,一个位于DLL之下,另一个又是主程序。。。火速跳过去下个断点
优先看圈1 ,再看圈2,最后看圈3。。。都尝试转过去下个断点
[Asm] 纯文本查看 复制代码
00FB3243 | 68 E84E0701 | push xshell.1074EE8 | 1074EE8:L"Initialized Frame Manager" ( FOA:62643 )
00FB3248 | 6A 00 | push 0 |
00FB324A | 8BF8 | mov edi,eax |
00FB324C | FF15 E0800501 | call dword ptr ds:[<&?__WriteDebugAppLog |
00FB3252 | 83C4 08 | add esp,8 |
00FB3255 | 85FF | test edi,edi |
00FB3257 | 75 16 | jne xshell.FB326F |
00FB3259 | 68 204F0701 | push xshell.1074F20 | 1074F20:L"Failed to initialize viewer instance."
00FA660E | FF15 147B0501 | call dword ptr ds:[<&NSLICENSE_CheckLicenseAndPackage>] (FOA:55A0E)
00FA6614 | 83C4 0C | add esp,C |
00FA6617 | 83F8 03 | cmp eax,3 |
从地理分布看 ,圈2的可能性更大,圈3根本不需要看了。
Ctrl+F2 重启,跑起来,竟然没断下,Alt+B 一看断点被清空了。。。记下FOA。。。Ctrl+F2重来
这次断下了,走不远发现授权检测位于这个模块 nslicense.dll (因为后面条件得不成立,所以改0)
看到提示直接进入call (mov al, 0 ;ret ) 伺候
走不多远又一个 dll(nsssh3.dll)这次返回1 (mov al, 1 ;ret ) 伺候【因为授权成立程序肯定走起啊。】
再行不远快跑完了,出来一个升级检测 Xshell.exe
JE ==》NOP 后面就会跳过。。。于是程序就进入了主界面
前后用时不到2分钟,爆破完毕,操作太快,未来得及截图,凑合看吧。 | 
[复制链接]
发表于 2026-4-18 22:55
|
发表于 2026-4-18 23:37
