关于论坛某程序外加QQ群验证的分析及破解思路分享

mq5123

原工具：https://www.52pojie.cn/thread-689917-1-1.html

这个工具的思路还算新颖，
之前某大佬的视频教程中其实提到过如何给EXE加上额外验证，
在那个视屏当中的原理类似于IAT劫持

这个工具的原理简单分析一下：
1.修改源EXE程序区段，将QQ群验证写入新加的区段中
2.修改程序OEP到新区段
3.执行完成QQ群验证后跳转到源程序OEP
如图

那么这就简单了，
方法一：
简单暴力，直接修改OEP>00524000 处Jmp到原无验证EXE的OEP
00524000 处修改为 jmp 0047AFBD           
方法二：
完美修复还原为原exe
这里简单定义原未加验证程序为A，加入验证程序为B
1.获取OEP
从B程序中获取A程序的OEP>

0052400A  - E9 AE6FF5FF     jmp 验证已加.0047AFBD                        ; Jmp 原无QQ群验证OEP
即A程序OEP为 0047AFBD
2.修改OEP
PE工具修改B程序OEP为A程序OEP>0047AFBD

注意此处是RVA需要用0047AFBD-基址00400000=7AFBD
之后保存更新，尝试运行已经可以跳过验证了
3.删除多余区段
使用PE工具删除2个附加的区段

4.重建PE，再次优化文件大小

到此文件已经成功还原修改
注意：关于第4步有可能出现文件错误，谨慎使用，当第三步完成时修复后的B程序应当与A程序大小一致

莫小烦

正在努力学习中....向楼主学习~

byh3025

确实，思路非常明晰

榻榻米

这种外壳程序把验证都写到一个call里了当然容易攻破~

【开★心快乐】

我希望可以出一个视频出来小白可以看得懂

岚东

思路清晰，学习了

soyo136

感谢分享值得学习下

zjls9933

正在努力学习中....向楼主学习~

iloveubaby

感觉好像很厉害的样子，可惜新人完全看不懂

Yomisong

这得好好学习