某思路等考通一级MSOffice的分析
(编辑:jimmy 日期: 2024/11/14 浏览:3 次 )
首先声明本人逆向小白,只是参考论坛大佬的帖子,完成了这次逆向分析,坛友如有技术问题,可能不能解答,请见谅。
昨天看到有坛友寻求2021版的等级考试一级软件,秉承授人以鱼不如授人以渔的理念,特写这个帖子。
某思路等考通一级MSOffice,版本6.5。下载地址:http://www.ncre8.net/FindResDownInfo?resdownid=64
用到的软件,ScanId,de4dot,dnSpy。论坛爱盘里有:https://down.52pojie.cn/Tools/NET/
参考云在天的帖子https://www.52pojie.cn/thread-682169-1-1.html,在此表示感谢{:1_893:} {:1_893:} {:1_893:}
第一步:分析
软件启动后有在线激活提示,模拟考场激活后使用。
第二步:查壳
软件安装后主程序NCREOneProject.exe,把它拖到ScanId里
扫描结果是Unknown>Unknown Obfuscator,没有壳?!,上一次逆向的6.0还是有壳的。
第三步:逆向
打开dnSpy,将主程序拖入
点击入口点
找到函数isActived()点击进入,这是程序启动检测软件是否激活
具体判断就不分析了,参照云在天大佬的方法,函数内右键选择编辑方法,直接将函数内的代码替换为 return true就可以了,注意{}对应别多删了
然后编译,回到dnSpy主界面,选择文件---保存模块。
模拟考场可以进入了。
最后,软件功能未进行详细测试,模拟考场简单测试了一下,功能正常。
昨天看到有坛友寻求2021版的等级考试一级软件,秉承授人以鱼不如授人以渔的理念,特写这个帖子。
某思路等考通一级MSOffice,版本6.5。下载地址:http://www.ncre8.net/FindResDownInfo?resdownid=64
用到的软件,ScanId,de4dot,dnSpy。论坛爱盘里有:https://down.52pojie.cn/Tools/NET/
参考云在天的帖子https://www.52pojie.cn/thread-682169-1-1.html,在此表示感谢{:1_893:} {:1_893:} {:1_893:}
第一步:分析
软件启动后有在线激活提示,模拟考场激活后使用。
第二步:查壳
软件安装后主程序NCREOneProject.exe,把它拖到ScanId里
扫描结果是Unknown>Unknown Obfuscator,没有壳?!,上一次逆向的6.0还是有壳的。
第三步:逆向
打开dnSpy,将主程序拖入
点击入口点
找到函数isActived()点击进入,这是程序启动检测软件是否激活
具体判断就不分析了,参照云在天大佬的方法,函数内右键选择编辑方法,直接将函数内的代码替换为 return true就可以了,注意{}对应别多删了
然后编译,回到dnSpy主界面,选择文件---保存模块。
模拟考场可以进入了。
最后,软件功能未进行详细测试,模拟考场简单测试了一下,功能正常。
下一篇:简要对比Ghidra和IDA Pro的伪C代码生成特点和水平