XX增值税打印软件分析过程

jidesheng6

昨天在论坛看到热门的这个软件，但是感觉软件的标题太过难受，刚好最近有空，就想着来分析一下。
说个题外话，最近一直在忙和女朋友还有工作上的事情，一直没时间发帖子什么的，也就今天闲下来了，有什么说的不对的地方，还请各位大佬海涵。

前提准备

首先需要准备以下工具：

• OD
• ExeInfo
• Pexplorer
• DeDe

上面的工具大部分人应该很熟悉的吧，就不一一介绍了。

分析

我们首先把软件安装起来，之后我们先用ExeInfo查一下壳和编译器信息。

可以看到，这个软件是无壳，而且是Delphi写的软件，第一时间想到的就是DeDe去查看它的一些信息，但是在这里我们先打开软件观察一下。

我们可以看到这个软件的标题有软件的名称、联系方式、邮箱地址等信息，其次正下方有一个软件未注册，可以从这个切入点来进行分析，实际操作中，没有发现有类似信息框等切入点，而且在软件的发送注册邮件Link标签上面悬停也会出现广告，点击发送注册邮件软件还会调用mailto启动系统邮件进行快捷发送，所以我们要做的就是以下几点：

• 注册软件
• 修改标题
• 去除mailto调用
• 去除悬浮广告

软件注册

既然上面已经说过我们要干什么了，那么接下来就可以开始动手了。

首先，我们把软件载入OD，搜索一下字符串，就从注册搜吧。

我们可以看到搜索注册，出现了一个软件已注册。

我们跟过去，在软件已注册上方，我们看到了第一处的jnz跳转。

我们接着去试试，能不能找到第二个跳转。

果然，我们在已付款的上方发现了第二个jnz跳转。

再往上已经没有了，我们在这两处下断点。然后运行软件，可以看到在第一个jnz断下来了。

我们修改Z标志位，让jnz不跳转，然后F8单步走下去。

来到了第二个jnz处，同样的。修改Z标志位，让其不跳转，接着单步走下去。

可以看到软件运行起来了，并且软件已经变成已注册状态了，之前灰色按钮也变成可用的了。

所以我们需要修改的就是这两处跳转，把这两处修改为NOP，然后保存，软件的注册就完成了。

修改标题

一开始，我也尝试过在OD中搜索字符串，但是没有搜索到任何内容，可能会有人想到DEDE，是的我也想到了，但是DEDE只能看，不能修改，所以我们这里要用到Pexplorer。

首先，我们打开Pexplorer，在软件的工具栏可以看到一个和程序图标很接近的图标，一会儿需要点击它。

打开资源编辑器以后，点击RCData。

我们在里面找到TFrom1这个数据，这个是主窗口的一些信息，包括了标题等信息。

我们展开TFrom1选中如图所示的选项，在右侧可以看到一个叫做caption的项目。

我们选中caption并且点击图中圈出来的按钮，进行标题修改。

我们可以看到这里的原始标题，然后我们修改为我们想要的标题，点击应用-确定，最后另存文件，修改标题就完成了。

我们打开看一下，可以看到修改成功了。

去除mailto调用

我们同样载入OD进行字符串搜索，可以看到刚进去就可以看到mailto和悬浮广告是在一起的，所以后面的去除悬浮广告也可以合并在这一起实现。

我们跟到汇编窗口中，右键-数据窗口中跟随-立即数，然后选择到字符串结束。

按下空格键编辑，然后把HEX数据全部改为00[就是空的意思]，然后我们在数据窗口中右键-复制到可执行文件-保存，这里的MailTo和悬浮广告就去除完毕啦。

悬浮同理



因为之前上过成品因为不知道有毒被删帖了，所以不放成品了，今天的分析就到这里。

哎，又有事得出去了。再见各位。

huomavip

不给个成品下载地址？

fellangle

bachelor66 发表于 2020-8-10 11:56
增票不都是指定的吗？需要税控盘

这个软件的风险是如果是税控盘开票，你的税率只能从几个税率里选择，还有关键就是密码区，发票号，检验码，开票日期，发票代码是完全不能修改填写的，这个能修改填写是可以用来套打发票的，现在各公司对于专票都是态度严谨，但是对于普票都是比较松懈的，这个能够套打发票，也就意味着市面上会大量出现套打的普票，是危害很大的

cxx0515

感谢分享，学习了

gy123621

学习了，感谢分享，如有成品能否对比演练，谢谢

iaals

谢谢分享，抽时间试一试。

wangpeng484

一看是个新思路

lsword2000

非常适合我等新手学习

shangdidejiupin

吾辈何以回报

零度的轻吻

谢谢分享

janet818

感谢今享！

yin404

太专业了，楼主能不能上成品