吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 85692|回复: 788
收起左侧

[原创] 解决wps2019专业版密钥失效的分析笔记

    [复制链接]
揰掵佲 发表于 2020-7-1 12:02
本帖最后由 揰掵佲 于 2020-7-1 14:59 编辑

一直在用WPS2019专业版,前段时间发现打字不行,只能复制粘贴.
后来发现密钥过期!
QQ截图20200701111039.png
密钥之前说是 永久激活的 694BF-YUDBG-EAR69-BPRGB-ATQXH 重新输入之后 发现确实是无限制的
猜测是软件启动或者进入编辑状态的情况下,对密钥进行了服务器的校验.
于是打开抓包工具,HttpAnalyzerStdV7 抓包发现,当WPS文字进入编辑状态的情况下 触发这个+
12.png

POST /auth/serialNumber HTTP/1.1
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Kingsoft client
Host: cloudservice7.kingsoft-office-service.com
Cache-Control: no-cache
Content-Length: 64

serialNumber=694BF-YUDBG-EAR69-BPRGB-ATQXH&platform=PC&deviceId=
HTTP/1.1 200
Content-Security-Policy: media-src
Content-Type: application/json;charset=UTF-8
Date: Wed, 01 Jul 2020 03:12:48 GMT
Server: nginx/1.12.1
Vary: Accept-Encoding
Vary: Accept-Encoding
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Connection: keep-alive
Content-Length: 114

{"code":0,"msg":"already expired","data":{"isValid":0,"startTime":1585299998,"endTime":1585299998,"totalTimes":1}}

通过对返回数据的时间戳转换 发现 开始和结束时间 是 2020-03-27 17:06:38 可能是我当时安装的时间,我不太记得了 Msg 提示已经过期.
因为已经过期了,所以先删除许可,重新输入 又提示无限制了
解决方法1  可以在Hosts加入  127.0.0.1 cloudservice7.kingsoft-office-service.com 解决过期问题.

3.png

但,这不是我们文章的重点,既然,我们已经知道了是通过提交数据进行校验的,那么,接下来,用OD打开WPS  抓包软件不要退出,可以清晰的看到封包什么时候提交的
通过前面测试,得知,新建文档,进行编辑的时候 进行注册码的校验,所以,直接运行wps!
对 WSASend  下断 看下能否拦截到封包信息之类的  
新建一个文档 会断下
4.png

esp+0x8对应封包数据指针
我习惯字节形式查看
db [[esp+0x8]+0x4]
5.png

按F9放行 看下能否找到 对应的数据
发现新建没有拦截到 等待过程中 发现自动断下 拦截类似数据如下
6.png

先记录堆栈,其他都是其次 因为有关系  
7.png
发现堆栈中 调用的是 wininet 的API
也就是说WPS通过调用 wininet 实现了一次网页数据的POST提交
可以搜索资料查看一下 wininet 提交数据数据的整个过程
其中  InternetReadFile 是用来读取返回数据的
对这个API下断,重复之前的动作 删除许可 输入许可,重新新建 等待关键

经过新建文档 等待下断之后

8.png

117EEDC0   55C57CC4  返回到 acm.55C57CC4 来自 wininet.InternetReadFile
返回上一层 循环下面下断
9.png
看到了和抓包数据一致的返回数据
10.png

在该函数头部下断 发现了提交的数据,猜测 这个就是用来进行验证的函数
这时候 可以直接对这个函数进行NOP 或者ret 都可以
11.png

但是,我们继续,返回上一层 定位到
55C64DF7 |. E8 922DFFFF CALL 55C57B8E ; 这里是访问网页函数
往上找到函数头
55C64D53 /$ 6A 58 PUSH 0x58 ; 函数头部 该函数在 acm.dll 中

操作方法 可以对这个函数头部 进行Ret 或者Nop也可以 自行操作即可
本来附带一些IDA分析,但是要吃饭去了:lol

经过反复测试,我还发现一个很神奇的地方,直接删除   acm.dll  文件也可以实现 授权不过期.


免费评分

参与人数 368吾爱币 +340 热心值 +325 收起 理由
zhuxutan + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
franklizz + 1 谢谢@Thanks!
Duncan-2025 + 1 + 1 热心回复!
人海看客 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
-default- + 1 谢谢@Thanks!
lindaiyu + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
zhushenggao + 1 + 1 我很赞同!
额济纳胡杨林 + 1 热心回复!
rigxu + 1 + 1 用心讨论,共获提升!
咸湿阿叔 + 1 + 1 用心讨论,共获提升!
N9loveyou + 1 + 1 谢谢@Thanks!
fanny188 + 2 + 1 鼓励技术分析帖,支持!
bxzxc + 1 我很赞同!
atom_warhead + 1 用心讨论,共获提升!
夏之天狼星 + 1 + 1 我很赞同!
苏打腐乳 + 1 谢谢@Thanks!
swimli + 1 + 1 有点小复杂,不过有比没有好~~谢谢分享
Oerror + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
肥波爱学习 + 1 谢谢@Thanks!
HellsingFallen + 1 + 1 谢谢@Thanks!
LaUstiN + 1 谢谢@Thanks!
52pojie61022109 + 1 + 1 谢谢@Thanks!
Jack马 + 1 + 1 我很赞同!
wucm0720 + 1 + 1 我很赞同!
hero0281 + 1 + 1 谢谢@Thanks!
小小懒喵 + 1 那个网址ping一下,是海外的?
q329973692 + 1 我很赞同!
etrock + 1 + 1 我很赞同!
v5renv6 + 2 + 1 谢谢@Thanks!
haidong9989 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
icysmile + 1 + 1 谢谢@Thanks!
buzhibujue + 1 + 1 谢谢@Thanks!
小白流星 + 1 + 1 热心回复!
名城丶飛 + 1 谢谢@Thanks!
gjiaq1 + 1 + 1 热心回复!
xwk + 2 + 1 传说中的高手,赞一个
上官红落 + 1 + 1 哇,太强了,感谢大佬分项
RainH + 1 + 1 谢谢@Thanks!
ZhouJX1999 + 1 我很赞同!
刘样andholiday + 1 + 1 感谢大佬,我一直为这事烦恼着呢
梦想yun + 1 + 1 热心回复!
刹影 + 1 + 1 用心讨论,共获提升!
承蒙上苍眷顾 + 1 谢谢@Thanks!
Snaileit + 1 + 1 我很赞同!
cao125160 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
zz2256891 + 1 + 1 谢谢@Thanks!
jin925 + 1 + 1 我很赞同!
Zz7758885 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
wazt + 1 谢谢@Thanks!
KingLC + 1 + 1 谢谢@Thanks!
wolfchan + 1 + 1 谢谢@Thanks!
abk + 1 + 1 热心回复!
越陌度阡666 + 1 我很赞同!
52pj_wyh + 1 谢谢@Thanks!
tohsakahoshi + 1 好贴,感谢大佬!!!
dollm + 1 + 1 用心讨论,共获提升!
zpzwz + 1 + 1 用心讨论,共获提升!
shenqing666 + 1 我很赞同!
coderyl + 1 + 1 我很赞同!
手写我心 + 1 + 1 谢谢@Thanks!
wh1st + 1 谢谢@Thanks!
charlieb1 + 1 + 1 用心讨论,共获提升!
fanheizhu113 + 1 + 1 我很赞同!
ljz93 + 1 + 1 我很赞同!
kioko + 1 + 1 我很赞同!
Likw + 1 + 1 我很赞同!
samnvff + 1 我很赞同!
永昌 + 1 谢谢@Thanks!
占峰 + 1 + 1 热心回复!
珑辰 + 1 谢谢@Thanks!
诸葛悟空 + 1 + 1 谢谢@Thanks!
古闲 + 1 + 1 热心回复!
atpjcom + 1 + 1 谢谢@Thanks!
逢山过海 + 1 我很赞同!
zhczf + 1 + 1 我很赞同!
why55555 + 1 + 1 我很赞同!
xinlnix + 1 + 1 谢谢@Thanks!
微笑丶永远 + 3 + 1 用心讨论,共获提升!
acexxy + 1 + 1 我很赞同!
q3030496 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
薄荷青年 + 1 + 1 谢谢@Thanks!
Kevyson + 1 + 1 大佬,已经成功了,前来感谢
SteveKwong + 1 鼓励转贴优秀软件安全工具和文档!
174911 + 1 用心讨论,共获提升!
yjvc + 1 + 1 谢谢@Thanks!
hghghg + 1 + 1 用心讨论,共获提升!
人小鬼大666 + 1 + 1 热心回复!
风行者之神 + 1 这个方式不行,我试过了。
z_8013 + 1 + 1 我很赞同!
fa00x + 1 + 1 热心回复!
drongs + 1 + 1 太厉害了!
woai2003 + 1 谢谢@Thanks!
冒失鬼 + 1 + 1 谢谢@Thanks!
bbsokok + 1 + 1 谢谢@Thanks!
QDS123 + 1 + 1 大神,膜拜,谢谢!
890125 + 1 + 1 热心回复!
火神猎杀者 + 1 我很赞同!
zhouyang666 + 1 + 1 虽然看不懂,但实用
jw987123jw + 1 + 1 谢谢@Thanks!
chenyouge + 1 我很赞同!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

3yu3 发表于 2020-7-1 18:11
楼主再查查有没有收集个人信息回传服务器的操作,免得它抓住版权问题秋后算帐。

免费评分

参与人数 2吾爱币 +2 热心值 +2 收起 理由
aoaocai + 1 + 1 我很赞同!
huanbin1 + 1 + 1 我很赞同!

查看全部评分

xbxbxbxb 发表于 2020-7-1 18:36
揰掵佲 发表于 2020-7-1 14:21
能分享一下的话,是最好的咯.可以学学原理

你看看吧,应该是类似的。

WPS 2019 永久激活工具.7z

434.91 KB, 下载次数: 3679, 下载积分: 吾爱币 -1 CB

密码是0

onlychinese 发表于 2020-7-1 14:25
本帖最后由 onlychinese 于 2020-7-1 14:26 编辑

直接删除   acm.dll  文件也可以实现 授权不过期.
千百度 发表于 2020-7-1 16:11
揰掵佲 发表于 2020-7-1 14:21
能分享一下的话,是最好的咯.可以学学原理

原理看https://www.52pojie.cn/thread-1191616-1-1.html这个帖子

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
Leoken + 1 + 1 谢谢@Thanks!

查看全部评分

橙子味的成子 发表于 2020-7-1 16:32
我也遇到过很多次,所以我直接用防火墙阻止WPS联网
clide2000 发表于 2020-8-8 23:04
测试发现直接禁止wps的所有进程联网,也可以防止注册反弹
drboy 发表于 2021-11-14 13:57
一直用防火墙的方法,但是似乎有的功能有问题。试试回复里面的PJ补丁~
hb12375 发表于 2022-10-14 15:24
xbxbxbxb 发表于 2020-7-1 18:36
你看看吧,应该是类似的。

这个工具确实挺好的,双击安装就激活了
寒心浪子 发表于 2020-7-1 21:39
axiong 发表于 2020-7-1 12:31
之前下载了个wps2019永久激活工具,也可以实现(acm.dll时间戳也对,hosts都没修改)。

那个工具用了,就是修改了LICENSE2.DAT文件  但不是只读,是修改了里面的二进制代码大概8位。
iflower 发表于 2020-7-1 13:34
多谢大佬分享。留名收藏
一丝风 发表于 2020-7-1 12:06
厉害厉害
星空迷徒 发表于 2020-7-1 12:10
有个很奇怪的现象,我与朋友的安装包,KEY都是同一个,他的经常失效,我的一次没有
单曲循环lee 发表于 2020-7-1 12:10
现在是直接屏蔽所有金山的服务器域名了,不敢随便放,mark一下后面找电脑测试测试
wcythily 发表于 2020-7-1 12:10
厉害 回头删了那个文件试试
yanglinman 发表于 2020-7-1 12:28
谢谢分析,回头把那个acm.dll 文件删掉!
axiong 发表于 2020-7-1 12:31
之前下载了个wps2019永久激活工具,也可以实现(acm.dll时间戳也对,hosts都没修改)。
tailor001 发表于 2020-7-1 12:35
删除acm.dll试试
cullenlin123 发表于 2020-7-1 13:03
拿了。有空在看看
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-1 03:17

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表