[原创]新版winhex18.2中文集成修改+爆破-资源下载-看雪-安全社区|安全招聘|kanxue.com

[原创]新版winhex18.2中文集成修改+爆破

发表于: 2015-4-28 20:19 10697

[原创]新版winhex18.2中文集成修改+爆破

menglv

2015-4-28 20:19

10697

查看主题内容

收藏・12

免费・0

支持

最新回复 (85) ◀ 1 2 3 4 ▶
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 26 楼 investigator应该不能下载吧。你之前好像共享过一个xwinvestigator.exe，但不会使用，好像不能显示hex。 2015-4-30 15:11 0
obma 雪币： 9493 活跃值： (3218) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 94 粉丝 0 关注私信	obma 27 楼有16.1版的，不知是否介意版本太老？预览组件2013年更新，软件试用功能正常，只是极易闪退。您爆的WINHEX试了下，不用KEY可用，无闪退，真心希望您不要嫌investigator老，爆爆。注：investigator须以法证授权才能使用。 2015-4-30 16:29 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 28 楼简单的测试了下，发现超级nice啊，原来的那个设置对话框中，是无法选择超过XX号的字体的（点击不让选择确定的）（而自己使用是宽屏显示器，默认的字实在是太小了，看着太累的眼了）中文汉化资源加入了太爽了修正“报告.txt” 这个问题以前每个版本，对比文件时总得修改下，不然就得保存成英文文件名其他的问题就是新鲜赶紧进一步测试跟反馈还有一个问题那就是查找和替换的对话框，那个能粘贴过去的字节数是有限制的，能否也做掉？ 2015-4-30 17:02 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 29 楼回家测试了下，发现如果显示有乱码必须得点上图中的地方。其他地方暂时未发现bug 而另外的那个未修改版，user.txt被自动删除了。上传的附件： snap009.jpg （108.84kb，25次下载） 2015-4-30 17:18 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 30 楼共享一个来看看，话说这个软件该怎么用，好像不可以编辑，只能查看吗？ 2015-4-30 17:41 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 31 楼那个限制是不能取消的，因为它的查找算法不是很先进，用到了一个bt函数，太长的字符串可能会导致溢出或查询出错。 2015-4-30 17:45 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 32 楼原来飘云阁早就有分析，居然跟我的很相象，只不过他们是研究算法，我是直接打补丁。以下是飘云阁会员lhmxn的分析：开始时候的存储位置： 0022E4B4 2F 2F 20 57 69 6E 48 65 78 20 6C 69 63 65 6E 73 // WinHex licens 0022E4C4 65 20 66 69 6C 65 0D 0A 0D 0A 4E 61 6D 65 3A 20 e file....Name: 0022E4D4 22 4C 68 6D 78 6E 22 0D 0A 41 64 64 72 31 3A 20 "Lhmxn"..Addr1: 0022E4E4 22 6C 68 6D 78 6E 40 71 71 2E 63 6F 6D 22 0D 0A "lhmxn@qq.com".. 0022E4F4 41 64 64 72 32 3A 20 22 50 59 47 22 0D 0A 4B 65 Addr2: "PYG"..Ke 0022E504 79 31 3A 20 22 32 41 38 32 30 46 30 38 35 41 44 y1: "2A820F085AD 0022E514 44 35 37 32 34 44 45 35 34 43 42 33 31 32 41 39 D5724DE54CB312A9 0022E524 33 42 35 43 39 22 0D 0A 4B 65 79 32 3A 20 22 36 3B5C9"..Key2: "6 0022E534 32 38 32 36 31 32 30 34 32 46 34 32 43 31 41 33 282612042F42C1A3 0022E544 44 37 45 39 36 44 37 44 33 46 46 39 33 30 32 22 D7E96D7D3FF9302" 0022E554 0D 0A 43 68 6B 73 6D 3A 20 22 46 42 22 0A 00 00 ..Chksm: "FB"... 005BD960+EB=005BDA4B,也就是说把username,addr1,addr2,key1,key2的值全部加起来 15FB Chksm:FB 0054ED41 \|> /B8 60D95B00 /MOV EAX, WinHex.005BD960 ; ASCII "Lhmxn" 0054ED46 \|. \|03C7 \|ADD EAX, EDI 0054ED48 \|. \|0FB600 \|MOVZX EAX, BYTE PTR DS:[EAX] 0054ED4B \|. \|03F0 \|ADD ESI, EAX ; 用户名ASC累加，累加结果ESI 0054ED4D \|. \|47 \|INC EDI 0054ED4E \|. \|81FF EB000000 \|CMP EDI, 0EB 0054ED54 \|.^\75 EB \JNZ SHORT WinHex.0054ED41 005BD960 4C 68 6D 78 6E 00 00 00 00 00 00 00 00 00 00 00 Lhmxn........... 005BD970 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 005BD980 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 005BD990 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 005BD9A0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 005BD9B0 00 6C 68 6D 78 6E 40 71 71 2E 63 6F 6D 00 00 00 .lhmxn@qq.com... 005BD9C0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 005BD9D0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 005BD9E0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 50 59 ..............PY 005BD9F0 47 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 G............... 005BDA00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 005BDA10 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 005BDA20 00 00 00 00 00 00 00 00 00 00 00 2A 82 0F 08 5A ...........?Z 005BDA30 DD 57 24 DE 54 CB 31 2A 93 B5 C9 62 82 61 20 42 軼$轙?摰蒪俛 B 005BDA40 F4 2C 1A 3D 7E 96 D7 D3 FF 93 02 00 ?�32=~栕??..... 0054EF7D \|. E8 0E8BEBFF CALL WinHex.00407A90 ; 字符串复制 0054EF82 \|. 807D 08 00 CMP BYTE PTR SS:[EBP+8], 0 0054EF86 \|. 0F85 71010000 JNZ WinHex.0054F0FD 最后把licensecode 保存到 005B96E4 4E 61 6D 65 3A 20 22 4C 68 6D 78 6E 22 0D 0A 41 Name: "Lhmxn"..A 005B96F4 64 64 72 31 3A 20 22 6C 68 6D 78 6E 40 71 71 2E ddr1: "lhmxn@qq. 005B9704 63 6F 6D 22 0D 0A 41 64 64 72 32 3A 20 22 50 59 com"..Addr2: "PY 005B9714 47 22 0D 0A 4B 65 79 31 3A 20 22 32 41 38 32 30 G"..Key1: "2A820 005B9724 46 30 38 35 41 44 44 35 37 32 34 44 45 35 34 43 F085ADD5724DE54C 005B9734 42 33 31 32 41 39 33 42 35 43 39 22 0D 0A 4B 65 B312A93B5C9"..Ke 005B9744 79 32 3A 20 22 36 32 38 32 36 31 32 30 34 32 46 y2: "6282612042F 005B9754 34 32 43 31 41 33 44 37 45 39 36 44 37 44 33 46 42C1A3D7E96D7D3F 005B9764 46 39 33 30 32 22 0D 0A 43 68 6B 73 6D 3A 20 22 F9302"..Chksm: " 005B9774 46 42 22 FB" F9运行后修改大于200M的文件时老师说下面的代码时改变内存的属性 00531CC5 \|. 6A 1C PUSH 1C ; /BufSize = 1C (28.) 00531CC7 \|. 8D4424 10 LEA EAX, DWORD PTR SS:[ESP+10] ; \| 00531CCB \|. 50 PUSH EAX ; \|Buffer 00531CCC \|. A1 30445900 MOV EAX, DWORD PTR DS:[594430] ; \| 00531CD1 \|. 50 PUSH EAX ; \|Address => WinHex.005318C8 00531CD2 \|. E8 7D43EDFF CALL <JMP.&kernel32.VirtualQuery> ; \VirtualQuery 00531CD7 \|. 54 PUSH ESP ; /pOldProtect 00531CD8 \|. 6A 40 PUSH 40 ; \|NewProtect = PAGE_EXECUTE_READWRITE 00531CDA \|. 68 00200000 PUSH 2000 ; \|Size = 2000 (8192.) 00531CDF \|. 8B4424 18 MOV EAX, DWORD PTR SS:[ESP+18] ; \| 00531CE3 \|. 50 PUSH EAX ; \|Address 00531CE4 \|. E8 5B43EDFF CALL <JMP.&kernel32.VirtualProtect> ; \VirtualProtect 往下看这是在做SMC，用自己的KEY解码一组数据，然后再把数据写回去。 00531D8D \|. 50 PUSH EAX ; /pBytesWritten 00531D8E \|. 0FB7F7 MOVZX ESI, DI ; \| 00531D91 \|. 56 PUSH ESI ; \|BytesToWrite 00531D92 \|. 8D4424 50 LEA EAX, DWORD PTR SS:[ESP+50] ; \| 00531D96 \|. 50 PUSH EAX ; \|Buffer 00531D97 \|. A1 30445900 MOV EAX, DWORD PTR DS:[594430] ; \| 00531D9C \|. 50 PUSH EAX ; \|Address => 5318C8 00531D9D \|. E8 4A3FEDFF CALL <JMP.&kernel32.GetCurrentProcess>; \|[GetCurrentProcess；获取自己的进程 00531DA2 \|. 50 PUSH EAX ; \|hProcess 00531DA3 \|. E8 DC42EDFF CALL <JMP.&kernel32.WriteProcessMemor>; \WriteProcessMemory F8从EIP(00531801)处往下跟 00531CA8 /$ 53 PUSH EBX ；一个调用本地调用来自 00531E47 00531CA9 \|. 56 PUSH ESI enter跟随 00531E3E \|. 803D F42D5A00>CMP BYTE PTR DS:[5A2DF4], 0 ；这是一个全局变量 00531E45 \|. 75 05 JNZ SHORT WinHex.00531E4C ；检测是否处理过了 00531E47 \|. E8 5CFEFFFF CALL WinHex.00531CA8 00531DF2 \|. 8A06 MOV AL, BYTE PTR DS:[ESI] 00531DF4 \|. 3A05 38445900 CMP AL, BYTE PTR DS:[594438] 00531DFA \|. 75 1D JNZ SHORT WinHex.00531E19 00531DFC \|. C605 F42D5A00>MOV BYTE PTR DS:[5A2DF4], 1 ；如果写成功了就赋值为1，也就是说SMC只需要一次就OK 00531D59 \|. 8BC6 MOV EAX, ESI ；此处拿到了那个串，就要去解了 00531D5B \|. E8 14DA0500 CALL WinHex.0058F774 下面的数据是要解码的东西用我的KEY没有解码成功 0022E154 89 61 55 F5 1C 8F 04 35 55 68 7D 3C FE 44 03 D4 塧U??5Uh}<﨑 0022E164 62 51 83 B6 AC D7 32 8E 38 12 5C EB E2 7F 38 BC bQ兌2?\脞8 0022E174 08 95 F9 C9 CC E3 E1 83 2B 3B 1F FD E0 63 58 AF 曺商汜?;cX 解码成功的数据 0022E154 57 48 58 45 78 74 57 6E 64 00 00 00 55 8B EC 83 WHXExtWnd...U嬱 0022E164 C4 D8 53 56 57 89 4D F4 89 55 F8 66 89 45 FE C6 呢SVW塎魤U鴉塃 0022E174 45 DF 00 80 7D 08 01 75 07 BE F8 00 00 00 EB 05 E? 把解码出来的正常代码粘贴到5318C8,然后把 00531E45 \|. 75 05 JNZ SHORT WinHex.00531E4C 改为 JMP 531E4C即可。 2015-4-30 19:27 0
obma 雪币： 9493 活跃值： (3218) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 94 粉丝 0 关注私信	obma 33 楼这个与winhex最大的不同就是不能修改，因为它定位取证软件，要保护现场，肯定不能篡改。初级用法简单，随便打开一个磁盘驱动器会出操作向导，然后照着创建案卷，几次即熟。软件hex显示应是被限制了，因不能编辑，无所谓的，且它与winhex为姊妹软件，有些事要共工完成。 2015-4-30 20:32 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 34 楼意思是解决退出问题就可以吧，我要找找，不知道放在哪里了，之前有保存的。 2015-4-30 20:38 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 35 楼以前网上下载过一个法证版的，那是网上能找到的唯一的一个，可是进到界面就有点搞不明白了，跟winhex不太一样还有一个问题，这个X86版的winhex内存编辑时总提示不能编辑要用64位的。感觉也能改写啊。 2015-4-30 21:57 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 36 楼法政版好像都是不能编辑的，所以不知道限制在哪里，这样就不好打补丁。 2015-5-4 12:19 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 37 楼我想你的系统应该是x64，而这个winhex是32位所以提示，但我怀疑是汉化有误。 2015-5-4 12:24 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 38 楼确实现在网上很多汉化的软件还有绿色版的软件会出现各种不治之症啊，可死因还不明最要命。 2015-5-4 12:46 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 39 楼闪退的现象貌似没有出现了。但工具--启动中心异常。 2015-5-5 09:59 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 40 楼启动中心异常是什么意思，不是很明白，偶尔会显示未注册倒是真的，但不影响使用。还是没有发现有其它的什么问题。很奇怪，回家试过很久也没有弹出未注册的对话框。 2015-5-5 17:58 0
obma 雪币： 9493 活跃值： (3218) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 94 粉丝 0 关注私信	obma 41 楼发现打开物理磁盘后，下方只能按文件显示，不能切换到“磁盘” 2015-5-5 19:26 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 42 楼点击工具--启动中心时程序异常。 2015-5-5 19:55 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 43 楼 win7一切正常，如果发现异常，请用user.txt试试。 2015-5-5 21:06 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 44 楼异常如图：上传的附件：截图00.png （5.17kb，2次下载） 2015-5-5 21:20 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 45 楼你将那个配置文件.cfg删除看看。 2015-5-5 21:26 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 46 楼删除配置文件后就OK了。谢谢 menglv ! 2015-5-6 08:49 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 47 楼 00436068 \|> \A1 900A5B00 mov eax, dword ptr [0x5B0A90] ; 案例 2 --> 分支 00435F35 0043606D \|. 8038 00 cmp byte ptr [eax], 0x0 00436070 \|. 75 2F jnz short 004360A1 00436072 \|. 6A 02 push 0x2 ; /TimerID = 0x2 00436074 \|. A1 0C0C5B00 mov eax, dword ptr [0x5B0C0C] ; \| 00436079 \|. 8B00 mov eax, dword ptr [eax] ; \| 0043607B \|. 50 push eax ; \|hWnd 0043607C \|. E8 B705FDFF call <jmp.&user32.KillTimer> ; \KillTimer 00436081 \|. E8 DEEDFFFF call 00434E64 00436086 \|. 6A 00 push 0x0 ; /Timerproc = NULL 00436088 \|. 68 40771B00 push 0x1B7740 ; \|Timeout = 1800000. ms 0043608D \|. 6A 02 push 0x2 ; \|TimerID = 0x2 0043608F \|. A1 0C0C5B00 mov eax, dword ptr [0x5B0C0C] ; \| 00436094 \|. 8B00 mov eax, dword ptr [eax] ; \| 00436096 \|. 50 push eax ; \|hWnd 00436097 \|. E8 4C07FDFF call <jmp.&user32.SetTimer> ; \SetTimer 0043609C \|. E9 73010000 jmp 00436214 004360A1 \|> 6A 02 push 0x2 ; /TimerID = 0x2 上面代码没30分钟检测一次，会报未注册，再等一会看看。发现winhex的程序员好无聊。 2015-5-6 15:10 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 48 楼我想可以修复一下查找hex的空格问题，这个自动去掉也不是很难，过几天看看。 2015-5-6 23:25 0
obma 雪币： 9493 活跃值： (3218) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 94 粉丝 0 关注私信	obma 49 楼搞到可靠KEY了，经长时间、多次数、大案卷（文件数超10万）测试，未出现自动退出现象，看来软件不稳定主要是KEY非法。问题已解决。 2015-5-7 09:48 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 50 楼那就共享出来嘛，独乐乐不如众乐乐。 2015-5-7 11:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

menglv

发帖

770

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (85) ◀ 1 2 3 4 ▶
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 26 楼 investigator应该不能下载吧。你之前好像共享过一个xwinvestigator.exe，但不会使用，好像不能显示hex。 2015-4-30 15:11 0
obma 雪币： 9493 活跃值： (3218) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 94 粉丝 0 关注私信	obma 27 楼有16.1版的，不知是否介意版本太老？预览组件2013年更新，软件试用功能正常，只是极易闪退。您爆的WINHEX试了下，不用KEY可用，无闪退，真心希望您不要嫌investigator老，爆爆。注：investigator须以法证授权才能使用。 2015-4-30 16:29 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 28 楼简单的测试了下，发现超级nice啊，原来的那个设置对话框中，是无法选择超过XX号的字体的（点击不让选择确定的）（而自己使用是宽屏显示器，默认的字实在是太小了，看着太累的眼了）中文汉化资源加入了太爽了修正“报告.txt” 这个问题以前每个版本，对比文件时总得修改下，不然就得保存成英文文件名其他的问题就是新鲜赶紧进一步测试跟反馈还有一个问题那就是查找和替换的对话框，那个能粘贴过去的字节数是有限制的，能否也做掉？ 2015-4-30 17:02 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 29 楼回家测试了下，发现如果显示有乱码必须得点上图中的地方。其他地方暂时未发现bug 而另外的那个未修改版，user.txt被自动删除了。上传的附件： snap009.jpg （108.84kb，25次下载） 2015-4-30 17:18 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 30 楼共享一个来看看，话说这个软件该怎么用，好像不可以编辑，只能查看吗？ 2015-4-30 17:41 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 31 楼那个限制是不能取消的，因为它的查找算法不是很先进，用到了一个bt函数，太长的字符串可能会导致溢出或查询出错。 2015-4-30 17:45 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 32 楼原来飘云阁早就有分析，居然跟我的很相象，只不过他们是研究算法，我是直接打补丁。以下是飘云阁会员lhmxn的分析：开始时候的存储位置： 0022E4B4 2F 2F 20 57 69 6E 48 65 78 20 6C 69 63 65 6E 73 // WinHex licens 0022E4C4 65 20 66 69 6C 65 0D 0A 0D 0A 4E 61 6D 65 3A 20 e file....Name: 0022E4D4 22 4C 68 6D 78 6E 22 0D 0A 41 64 64 72 31 3A 20 "Lhmxn"..Addr1: 0022E4E4 22 6C 68 6D 78 6E 40 71 71 2E 63 6F 6D 22 0D 0A "lhmxn@qq.com".. 0022E4F4 41 64 64 72 32 3A 20 22 50 59 47 22 0D 0A 4B 65 Addr2: "PYG"..Ke 0022E504 79 31 3A 20 22 32 41 38 32 30 46 30 38 35 41 44 y1: "2A820F085AD 0022E514 44 35 37 32 34 44 45 35 34 43 42 33 31 32 41 39 D5724DE54CB312A9 0022E524 33 42 35 43 39 22 0D 0A 4B 65 79 32 3A 20 22 36 3B5C9"..Key2: "6 0022E534 32 38 32 36 31 32 30 34 32 46 34 32 43 31 41 33 282612042F42C1A3 0022E544 44 37 45 39 36 44 37 44 33 46 46 39 33 30 32 22 D7E96D7D3FF9302" 0022E554 0D 0A 43 68 6B 73 6D 3A 20 22 46 42 22 0A 00 00 ..Chksm: "FB"... 005BD960+EB=005BDA4B,也就是说把username,addr1,addr2,key1,key2的值全部加起来 15FB Chksm:FB 0054ED41 \|> /B8 60D95B00 /MOV EAX, WinHex.005BD960 ; ASCII "Lhmxn" 0054ED46 \|. \|03C7 \|ADD EAX, EDI 0054ED48 \|. \|0FB600 \|MOVZX EAX, BYTE PTR DS:[EAX] 0054ED4B \|. \|03F0 \|ADD ESI, EAX ; 用户名ASC累加，累加结果ESI 0054ED4D \|. \|47 \|INC EDI 0054ED4E \|. \|81FF EB000000 \|CMP EDI, 0EB 0054ED54 \|.^\75 EB \JNZ SHORT WinHex.0054ED41 005BD960 4C 68 6D 78 6E 00 00 00 00 00 00 00 00 00 00 00 Lhmxn........... 005BD970 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 005BD980 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 005BD990 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 005BD9A0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 005BD9B0 00 6C 68 6D 78 6E 40 71 71 2E 63 6F 6D 00 00 00 .lhmxn@qq.com... 005BD9C0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 005BD9D0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 005BD9E0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 50 59 ..............PY 005BD9F0 47 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 G............... 005BDA00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 005BDA10 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 005BDA20 00 00 00 00 00 00 00 00 00 00 00 2A 82 0F 08 5A ...........?Z 005BDA30 DD 57 24 DE 54 CB 31 2A 93 B5 C9 62 82 61 20 42 軼$轙?摰蒪俛 B 005BDA40 F4 2C 1A 3D 7E 96 D7 D3 FF 93 02 00 ?�32=~栕??..... 0054EF7D \|. E8 0E8BEBFF CALL WinHex.00407A90 ; 字符串复制 0054EF82 \|. 807D 08 00 CMP BYTE PTR SS:[EBP+8], 0 0054EF86 \|. 0F85 71010000 JNZ WinHex.0054F0FD 最后把licensecode 保存到 005B96E4 4E 61 6D 65 3A 20 22 4C 68 6D 78 6E 22 0D 0A 41 Name: "Lhmxn"..A 005B96F4 64 64 72 31 3A 20 22 6C 68 6D 78 6E 40 71 71 2E ddr1: "lhmxn@qq. 005B9704 63 6F 6D 22 0D 0A 41 64 64 72 32 3A 20 22 50 59 com"..Addr2: "PY 005B9714 47 22 0D 0A 4B 65 79 31 3A 20 22 32 41 38 32 30 G"..Key1: "2A820 005B9724 46 30 38 35 41 44 44 35 37 32 34 44 45 35 34 43 F085ADD5724DE54C 005B9734 42 33 31 32 41 39 33 42 35 43 39 22 0D 0A 4B 65 B312A93B5C9"..Ke 005B9744 79 32 3A 20 22 36 32 38 32 36 31 32 30 34 32 46 y2: "6282612042F 005B9754 34 32 43 31 41 33 44 37 45 39 36 44 37 44 33 46 42C1A3D7E96D7D3F 005B9764 46 39 33 30 32 22 0D 0A 43 68 6B 73 6D 3A 20 22 F9302"..Chksm: " 005B9774 46 42 22 FB" F9运行后修改大于200M的文件时老师说下面的代码时改变内存的属性 00531CC5 \|. 6A 1C PUSH 1C ; /BufSize = 1C (28.) 00531CC7 \|. 8D4424 10 LEA EAX, DWORD PTR SS:[ESP+10] ; \| 00531CCB \|. 50 PUSH EAX ; \|Buffer 00531CCC \|. A1 30445900 MOV EAX, DWORD PTR DS:[594430] ; \| 00531CD1 \|. 50 PUSH EAX ; \|Address => WinHex.005318C8 00531CD2 \|. E8 7D43EDFF CALL <JMP.&kernel32.VirtualQuery> ; \VirtualQuery 00531CD7 \|. 54 PUSH ESP ; /pOldProtect 00531CD8 \|. 6A 40 PUSH 40 ; \|NewProtect = PAGE_EXECUTE_READWRITE 00531CDA \|. 68 00200000 PUSH 2000 ; \|Size = 2000 (8192.) 00531CDF \|. 8B4424 18 MOV EAX, DWORD PTR SS:[ESP+18] ; \| 00531CE3 \|. 50 PUSH EAX ; \|Address 00531CE4 \|. E8 5B43EDFF CALL <JMP.&kernel32.VirtualProtect> ; \VirtualProtect 往下看这是在做SMC，用自己的KEY解码一组数据，然后再把数据写回去。 00531D8D \|. 50 PUSH EAX ; /pBytesWritten 00531D8E \|. 0FB7F7 MOVZX ESI, DI ; \| 00531D91 \|. 56 PUSH ESI ; \|BytesToWrite 00531D92 \|. 8D4424 50 LEA EAX, DWORD PTR SS:[ESP+50] ; \| 00531D96 \|. 50 PUSH EAX ; \|Buffer 00531D97 \|. A1 30445900 MOV EAX, DWORD PTR DS:[594430] ; \| 00531D9C \|. 50 PUSH EAX ; \|Address => 5318C8 00531D9D \|. E8 4A3FEDFF CALL <JMP.&kernel32.GetCurrentProcess>; \|[GetCurrentProcess；获取自己的进程 00531DA2 \|. 50 PUSH EAX ; \|hProcess 00531DA3 \|. E8 DC42EDFF CALL <JMP.&kernel32.WriteProcessMemor>; \WriteProcessMemory F8从EIP(00531801)处往下跟 00531CA8 /$ 53 PUSH EBX ；一个调用本地调用来自 00531E47 00531CA9 \|. 56 PUSH ESI enter跟随 00531E3E \|. 803D F42D5A00>CMP BYTE PTR DS:[5A2DF4], 0 ；这是一个全局变量 00531E45 \|. 75 05 JNZ SHORT WinHex.00531E4C ；检测是否处理过了 00531E47 \|. E8 5CFEFFFF CALL WinHex.00531CA8 00531DF2 \|. 8A06 MOV AL, BYTE PTR DS:[ESI] 00531DF4 \|. 3A05 38445900 CMP AL, BYTE PTR DS:[594438] 00531DFA \|. 75 1D JNZ SHORT WinHex.00531E19 00531DFC \|. C605 F42D5A00>MOV BYTE PTR DS:[5A2DF4], 1 ；如果写成功了就赋值为1，也就是说SMC只需要一次就OK 00531D59 \|. 8BC6 MOV EAX, ESI ；此处拿到了那个串，就要去解了 00531D5B \|. E8 14DA0500 CALL WinHex.0058F774 下面的数据是要解码的东西用我的KEY没有解码成功 0022E154 89 61 55 F5 1C 8F 04 35 55 68 7D 3C FE 44 03 D4 塧U??5Uh}<﨑 0022E164 62 51 83 B6 AC D7 32 8E 38 12 5C EB E2 7F 38 BC bQ兌2?\脞8 0022E174 08 95 F9 C9 CC E3 E1 83 2B 3B 1F FD E0 63 58 AF 曺商汜?;cX 解码成功的数据 0022E154 57 48 58 45 78 74 57 6E 64 00 00 00 55 8B EC 83 WHXExtWnd...U嬱 0022E164 C4 D8 53 56 57 89 4D F4 89 55 F8 66 89 45 FE C6 呢SVW塎魤U鴉塃 0022E174 45 DF 00 80 7D 08 01 75 07 BE F8 00 00 00 EB 05 E? 把解码出来的正常代码粘贴到5318C8,然后把 00531E45 \|. 75 05 JNZ SHORT WinHex.00531E4C 改为 JMP 531E4C即可。 2015-4-30 19:27 0
obma 雪币： 9493 活跃值： (3218) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 94 粉丝 0 关注私信	obma 33 楼这个与winhex最大的不同就是不能修改，因为它定位取证软件，要保护现场，肯定不能篡改。初级用法简单，随便打开一个磁盘驱动器会出操作向导，然后照着创建案卷，几次即熟。软件hex显示应是被限制了，因不能编辑，无所谓的，且它与winhex为姊妹软件，有些事要共工完成。 2015-4-30 20:32 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 34 楼意思是解决退出问题就可以吧，我要找找，不知道放在哪里了，之前有保存的。 2015-4-30 20:38 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 35 楼以前网上下载过一个法证版的，那是网上能找到的唯一的一个，可是进到界面就有点搞不明白了，跟winhex不太一样还有一个问题，这个X86版的winhex内存编辑时总提示不能编辑要用64位的。感觉也能改写啊。 2015-4-30 21:57 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 36 楼法政版好像都是不能编辑的，所以不知道限制在哪里，这样就不好打补丁。 2015-5-4 12:19 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 37 楼我想你的系统应该是x64，而这个winhex是32位所以提示，但我怀疑是汉化有误。 2015-5-4 12:24 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 38 楼确实现在网上很多汉化的软件还有绿色版的软件会出现各种不治之症啊，可死因还不明最要命。 2015-5-4 12:46 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 39 楼闪退的现象貌似没有出现了。但工具--启动中心异常。 2015-5-5 09:59 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 40 楼启动中心异常是什么意思，不是很明白，偶尔会显示未注册倒是真的，但不影响使用。还是没有发现有其它的什么问题。很奇怪，回家试过很久也没有弹出未注册的对话框。 2015-5-5 17:58 0
obma 雪币： 9493 活跃值： (3218) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 94 粉丝 0 关注私信	obma 41 楼发现打开物理磁盘后，下方只能按文件显示，不能切换到“磁盘” 2015-5-5 19:26 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 42 楼点击工具--启动中心时程序异常。 2015-5-5 19:55 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 43 楼 win7一切正常，如果发现异常，请用user.txt试试。 2015-5-5 21:06 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 44 楼异常如图：上传的附件：截图00.png （5.17kb，2次下载） 2015-5-5 21:20 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 45 楼你将那个配置文件.cfg删除看看。 2015-5-5 21:26 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 46 楼删除配置文件后就OK了。谢谢 menglv ! 2015-5-6 08:49 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 47 楼 00436068 \|> \A1 900A5B00 mov eax, dword ptr [0x5B0A90] ; 案例 2 --> 分支 00435F35 0043606D \|. 8038 00 cmp byte ptr [eax], 0x0 00436070 \|. 75 2F jnz short 004360A1 00436072 \|. 6A 02 push 0x2 ; /TimerID = 0x2 00436074 \|. A1 0C0C5B00 mov eax, dword ptr [0x5B0C0C] ; \| 00436079 \|. 8B00 mov eax, dword ptr [eax] ; \| 0043607B \|. 50 push eax ; \|hWnd 0043607C \|. E8 B705FDFF call <jmp.&user32.KillTimer> ; \KillTimer 00436081 \|. E8 DEEDFFFF call 00434E64 00436086 \|. 6A 00 push 0x0 ; /Timerproc = NULL 00436088 \|. 68 40771B00 push 0x1B7740 ; \|Timeout = 1800000. ms 0043608D \|. 6A 02 push 0x2 ; \|TimerID = 0x2 0043608F \|. A1 0C0C5B00 mov eax, dword ptr [0x5B0C0C] ; \| 00436094 \|. 8B00 mov eax, dword ptr [eax] ; \| 00436096 \|. 50 push eax ; \|hWnd 00436097 \|. E8 4C07FDFF call <jmp.&user32.SetTimer> ; \SetTimer 0043609C \|. E9 73010000 jmp 00436214 004360A1 \|> 6A 02 push 0x2 ; /TimerID = 0x2 上面代码没30分钟检测一次，会报未注册，再等一会看看。发现winhex的程序员好无聊。 2015-5-6 15:10 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 48 楼我想可以修复一下查找hex的空格问题，这个自动去掉也不是很难，过几天看看。 2015-5-6 23:25 0
obma 雪币： 9493 活跃值： (3218) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 94 粉丝 0 关注私信	obma 49 楼搞到可靠KEY了，经长时间、多次数、大案卷（文件数超10万）测试，未出现自动退出现象，看来软件不稳定主要是KEY非法。问题已解决。 2015-5-7 09:48 0
menglv 雪币： 10916 活跃值： (3284) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 50 楼那就共享出来嘛，独乐乐不如众乐乐。 2015-5-7 11:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复