破解后的程序运行25秒自动销毁

linux1997

小白的第一次破解记录,经过查壳无壳,程序是c++写的

程序原理是在当前文件夹有一个注册码.txt的文本文档,里面存放着注册码
通过暴力破解,注册码不正确也可以进入功能界面,但是正在欢喜的时刻,突然发现每次打开程序的时候,会删除当下程序并生成一个随机名的程序,破解后的程序运行25s之后则自我销毁

刚开始通过查询字符串 想要找settimer 后来没有发现踪迹 也没有找到关于25秒的信息

看到论坛有人说bp ExitProcess 成功断点后 发现

其中有三个call,目测获取当前线程,强制关闭线程,和退出线程
在前后没有发现触发jmp的跳转,ret后程序也将无法正常使用 卡死直至退出.

我通过正常的流程走过一遍,日志里发现,正常的话  线程会退出  并重新启动线程  ntdll中进行



破解后的程序则是线程会退出  不重启线程 并且程序也退出


新人小白,希望大神能够指教指教,谢谢!


破解前程序已上传蓝奏云:https://wwa.lanzouj.com/ifx5Vl591cd
此程序为64位程序,需使用x64dbg调试

无闻无问

linux1997 发表于 2021-2-1 19:33
正常的界面是这样的   但是我这个属于破解后的   其中两个下拉框是根据程序所在目录  所获取的数据 这 ...

哪没目录数据不玩了，我那个界面25秒没退，只是点设置，就打开文件夹…

你慢慢找吧，结束进程，线程方式很多…正常的情况是，下CreateThread跟踪线程执行函数，看看原因…

linux1997

其中第一张图,已经回溯到程序领空,但是在附近没有发现关键跳转

JuncoJet

断网试了没，说不定是联机更新
文件HASH值不对，就会触发更新

linux1997

JuncoJet 发表于 2021-2-1 14:00
断网试了没，说不定是联机更新
文件HASH值不对，就会触发更新

程序在打开的时候会先进行是否联网判断,在成功打开程序后断网,破解后的程序依然是25秒后结束程序

Sentiment1996

有可能是前面的线程是检测文件HASH值是否更改，未发生更改则退出检测线程并启动程序线程，如果发生更改则线程退出程序也不重启。

linux1997

Sentiment1996 发表于 2021-2-1 14:53
有可能是前面的线程是检测文件HASH值是否更改，未发生更改则退出检测线程并启动程序线程，如果发生更改则线 ...

如果正常的程序是会退出三个线程 重启两个线程
而破解后的程序则是退出三个线程  不重启线程 并且程序关闭了

zhorses

C++都能破解 牛啊

无闻无问

你的界面是什么样的？我的是这样，但是没有你说28s退出：


还有，访问了网站：





网站都不通，估计没戏了……

linux1997

无闻无问 发表于 2021-2-1 17:40
你的界面是什么样的？我的是这样，但是没有你说28s退出：

这个网站是pin不通的,如果是现在这个界面说明里面的功能已经失效了,正常的界面和这个相似  或者你下载我破解后的程序 走一下试试呢