本帖最后由 Tiamoer 于 2026-2-1 17:39 编辑
一、软件
查壳:Detect It Easy(die)v3.10
debug:x64dbg
OBS下载地址:https://www.123912.com/s/ioKLTd-u97h
二、过程
2.1 先查壳
从查壳情况可以看得出来,这是一个附有400MB附件的.Net程序,并且识别到了zip压缩包。对于一个简单的 .NET 程序来说,这个体积过于庞大。结合“覆盖层”和“Zip”特征,这个程序实际上是一个“自解压包”或“释放器”。
2.2 脱壳加分析
既然是一个自解包,尝试把 OBS.exe 文件重命名为 OBS.zip ,然后使用解压缩软件打开就能看到实际上的软件包目录。
那原版的OBS应用程序就在文件夹 bin 中了,结合应用程序启动时的表现和文件创建时间,可以看到有部分dll是后加的,基本上就是 av 和 qt 开头的一些dll,还有一些零零散散的工具,大概可以知道这是完成附加登录界面 + 校验功能所需的一些依赖。
2.3 debug
找到 obs.exe 后,直接用 x64dbg 开搂,打开应用可以看到这个界面:
验证时报错:
那我们最简单的办法就是抓窗口事件,已知这是一个QT6创建的窗口,则我们直接在 x64dbg 的 Symbols 窗口中找QT相关的dll,这里有个小窍门:
在windows操作系统上,绝大多数的窗口绘制,底层都调用的是 user32.dll ,那自然也包括QT,所以我们不需要去很麻烦的去找QT6的窗口函数,我们直接打断点在 user32.dll 中的 showWindow 和 showWindowAsync 上,如图:
运行程序,并随便输入一个验证码提交,然后就会断在窗口显示上,然后查看调用栈(Call Stack)
从调用路径中忽略第三方dll的调用,只关注于 OBS 软件本身的调用,可以看到在窗口创建前是调用了 obs64.AuthDialog::validateLicense+13B ,双击这个调用,就能进入该函数
接着就一路找啊找啊,找 成功 , success 等字样,找 je , jne 等相关关键字,我们在地址 00007FF749CB36AC 这里看到了卡密验证通过等字样,且该部分包含在一个跳转中,我们接着往上找条件判断的位置
可以看到:
call <obs64.private: bool __cdecl AuthDialog::validateLicense(void)>
test al,al
je obs64.7FF749CB3903
解释:
call <obs64.private: bool __cdecl AuthDialog::validateLicense(void)>
动作:程序调用了一个名为 validateLicense(验证许可)的函数。
返回值类型:注意 bool 这个关键字。在 C++ 和底层汇编中,bool 返回值通常存放在 al 寄存器中。
1 (true) 代表许可合法。
0 (false) 代表许可非法。
test al,al
动作:检查 al 的值(即函数返回的布尔结果)。
如果 al 是 0(非法),ZF 置为 1。
如果 al 是 1(合法),ZF 置为 0。
je obs64.7FF749CB3903
动作:je 代表 Jump if Equal,也就是当 ZF=1 时跳转。
逻辑:如果上面的 test 发现 al 是 0(即验证失败),程序就会跳转到 7FF749CB3903 这个地址。
后果:跳转到的那个地址通常是弹出“许可证错误”提示框、或者是直接关闭程序的逻辑。如果没有跳转(即验证通过),程序会继续向下执行。
如果我们要进入下面的注册成功逻辑,有两种办法,一是直接给 je 填充成空指令,二是修改 test al,al 成 mov al,1,方式一最直接,最暴力,方式二逻辑最严谨,所以我们这里直接用方式二
修改完成后,我们再注册下试试:
跳舞ヾ(≧ ▽ ≦)ゝ | 
[复制链接]
发表于 2026-2-2 21:45
分享到朋友圈
