首页
社区
课程
招聘
[原创]我的亲妹输入法的全面逆向之旅:
发表于: 2019-11-14 09:44 14345

[原创]我的亲妹输入法的全面逆向之旅:

2019-11-14 09:44
14345

MySister

1579401185614

我的亲妹输入法

我的亲妹输入法是一款不错的输入法,从2000年时你亲哥我就开始使用了。之前使用过极点中文,五笔86,王码,自然码,紫光拼音,智能狂拼,智能五笔/智能陈桥等等等等等。最后还是觉得我的亲妹输入法最适合我使用,论坛上也出现过若干的版本的DIY和去广告汇编修改的教程随着岁月的流逝,我们发现这款输入法的功能不断的增加和完善,但同时流氓广告后门程序也愈演愈烈。想当年只要主程序就能正常的使用了,并且是超级的绿色绿色哟。。 大大地良民良民地哟。。。 这也是中国唯一的一款外挂输入方式和内置输入方式的演绎。后来的版本我们发现,若想把它变成超级绿色版,几乎是不太可能了。因为它的文件分布于各个文件夹下,有C:\Windows\System32下,还有的在我的亲妹输入法目录,最可恶的是有些配置目录也在特定的目录下,极度的分散。只能使用绿色单文件软件来制作了。那种只要一个目录下的纯种绿色版几乎不太现实,但是后面的分析和制作会让你们恍然大悟,原来如此啊@仿如做梦一般@

望闻问切:望,指观气色;闻,指听声息;问;指询问症状;切;指摸脉象。

接下来,我们还是按标准开局从头说起吧,对你们来说汇编逆向可能是场智力对抗游戏,对我来说是一盘博弈对局。我们先用查壳软件简单的看一下吧。

img

接着我们再用7ZIP再来打开看一下安装文件(解出来,便于修改和分析)

img

你会发现该有的文件都有,唯独少了一宝,那就是安装的脚本。那这个程序到底是用何工具生成的呢?问了很多论坛,求助了不少QQ好友,竟也无人知晓,如果能知道的话那就太好了,可以直接把修改后的文件替换回去。这里的这些文件我们先解包出来备用,因为后面会使用更佳高明的方法,留着以后拼盘时使用,另外这些文件还有其他的分析价值哟。
接下来派遣Total-Uninstall出阵监视安装并得到安装后的列表

img

img

img

我们可以看到如图 9-1,9-2,9-3 三图所示。

程序主要分布AAAAAAA、BBBBBBB、CCCCCCC、DDDDDD、EEEEEEEE5个地带

img

图11-12所示我则删除掉

img

img

img

当启动主程序,或切换输入法时,截图15这样的就会调用多次。具体大家可以自己实践,就不一一截图了。当然也会拦截到几个 ,记录上面的参数 图15中所示的两行,这样我们就能在ollydbg/x64dbg/x32dbg参数中加以利用了种种迹象表明和暗示着下面这些文件可能是流氓程序

img

接下来,我们的Spy Shelter出场了,我们重复来次安装,可以看到

img

img

img

img

WnTool.exe 你点 【亲妹】处才能调用,直接双击运行,没有效果,显然是A.exe调B.exe加参数运行的嘛。

**WnTool.exe 可以留着,因为它控制工具的显示img

若做成超级绿色精简版,我们只需要config.ini,所以也可以直接删除!WnCore.exe直接删除!
WnMoniter.exe直接删除!
WnService.exe 直接删除!

ScrSnap.exe 是截图程序,看着办,或以后借用槽位

WnVoiceInput.exe 是语音输入,和我们汇编修改无关删除!WnAccount32.exe和WnAccount64.exe你会好奇的问这两个是什么? 凭英语词义是不是帐户登录?我会告诉你这两个肯定不是如果用最小化文件法把【我的亲妹输入法下文件全删除】只要wnwb.exe时就会提示你少了WnAccount32.exe,由此推断真的不是。那是干什么用的呢?WnImeRepair.exe会告诉你答案。

WnUserPage.exe 干什么的?哈哈,懂了吧?登录用的,用于宣传和炫耀“我是会员!”

img

WnSkinInst.exe呢,我们用监控安装工具,或是RegWorkshop来告诉你是什么?

img

img

img

我们用抓包工具看看也会发现一些有意思的东西。

img

程序运行过程中的捕获与利用img

img

DuiLib32.dll文件显然是公共需要调用的,能不能通过汇编修改达到会员效果呢?用Ollydbg/x32dbg打开看看显然是不行的,因为还有wn.ime文件位于system32 和 wow64目录下通过我们用MindManager2020绘制的程序流程图很容易看出config.ini和Super member.con才是总导演和负责人。

1579420798703

1579422776600

使用Total-Uninstall导出注册表部分,显然我们得到了隐含的参数

这样我们间接的知道了皮肤文件是如何运作的、词典、字库也是同样道理

img

1574864994657

img这个录像机图标是活的,会弹出一个小妹妹,果然是我的亲妹输入法啊~~ 还挺水灵的不过楼主个人觉得吧,这个妹子长得不够甜美,我们可以修改下,让它整个更漂亮的,哈哈,开个玩笑。或者是换成可执行文件比较的实在。这个下面有时间再来折腾和修改。

目标文件的猜测:
文件分布与功能的探索与证实:
我们在用7zip解包〖安装文件时〗不免有以下这些疑问:
玩逆向和破解,你就是名内科医生、猎人、侦探、棋手。你要不断的问为什么?以及自己找线索和答案,没有人告诉你为什么这样?为什么那样?
但是我们可以通过现象、试探、测试、分析等等方法得到直接或间接答案。

A.安装目录下为啥有四个ime文件?
它们分别是wn32.ime、wn64.ime、WNTSF32.ime、WNTSF64.ime

B.这些ime文件难道真的都是必须的吗?不是
C.这些ime文件真正发挥作用的又有哪些?排除法+虚拟机快照功能反复试验来验证
D.这些ime文件是否只要一个就能正常工作?2个
E.这些ime文件能否不通过注册表完成注册就可关联系统使用?可以但最好加上
F.为什么有32位的还有64位的?难道真的都是必须的?

显然我们看文件名第一印象猜测就是它们可能对应于32位或64位系统上使用!
通过查看捕获到的安装记录中的注册表路径
在xp系统中则是system32\wn.ime
64位系统上则是system32\WNTSF.ime 和 SysWOW64\wnTSF.ime

(文件名具有随机性)
同理win7x86/win10x86位系统猜测估计同XP(win8x86虚拟机里没有,未证实)

通过我们修改之后打补丁时出现的怪异现象(明明我们保存到的目录是system32目录,但却保存到了wow64目录下)
我们马上得出两条结论:很有可能只要两个ime文件与之配对就可正常运作
WNTSF.ime这个文件存在着某种映射关系,在system32目录中保存很可能自己在wow64目录下生成
我们通过现象和实验来印证我们自己的猜测,显然这是直接和简单解决问题的方法
我们通过用regsvr32来尝试修改这种"特殊的dll",我们最终发现后面的两个IME文件(WNTSF32.ime、WNTSF64.ime)才是“香饽饽”!其他的两个可以完全无视!
通过监控安装软件我们得到的结论是不同的操作系统使用不同的ime文件,并会随机分配ime文件名,一切都有阴谋。

如果你操作时系统正好是win7,那么悲催的一幕发生了,你会发现如图所示,出现一个很怪异的问题。
我明明修改的是c:\windows\sytem32\wn.ime,当修改之后保存的位置却在c:\windows\SysWow64
如果你操作的是xp/win10,那么你直接覆盖后马上生效,也无需重启。而win7x64却会出现这种奇葩的问题。
当你重启系统后,你会发生的确修改起作用了,但是你会发生你的输入法再也无法正常的使用了。
下面的两张截图里告诉你究竟是为什么? 看图作答,如果你能自己说出答案来,那么你也就真是领悟为什么啦。那么正确的修改替换流程你也就懂了。
记得不要被文件名所欺骗,32位的就一定是32位的程序? 64位字眼就一定是64的吗?记得32位的用32的改好,64位的派遣x64dbg来操作。
实践出真知,楼主第一天分析窥探奥秘时修改主程序等成功,之后的第二天第三天才给其他所有的文件全部完美修改成功。写一个详实的分析报告却用了半个月时间。
这个亲妹输入法是一个非常易上手的汇编逆向的经典案例!通过分析和上机实践,
能学到静态修改方法和动态修改方法
带参数的如何调试
抓包的使用
注册表的利用
安装文件的监控
如在第一阶段错失猎杀良机,如何再补救分析
绿色软件的提取方法和修改方法
初级打补丁、中级打补丁
文件的对比和提取
这些都是逆向需要掌握的基本技能
img
img
读懂了吧? 知道该如何操作了吧? 自己上机实践一下就会豁然开朗!不用楼主步步都教你了吧,要学会举一反三,自我推敲。

不信你们可以在xp/win7/win10做监控记录,并查看就会发现上一结论的正确性。实践是检验真理的唯一标准。

G.是否使用了某些内置的命令完成的安装?
确实是这样的,我们可以通过WinHEX查看众多的EXE/DLL或用Ollydbg单步执行WnImeRepair.exe时得到上面的结论

H.究竟到底有没有安装的脚本文件在内?
显然没有脚本在安装期间释放出来,虽然查壳看到Microsoft Visual C++
又可以用7zip看到了解包后的文件
由此我们猜测很可能有某个文件暗中发挥着安装、注册dll、关联注册表、移动和复制文件、注册ime到系统中
显然达成这一条件的唯一文件很可能就是WnImeRepair.exe

I.两个广告文件夹是由哪个文件产生的?
%USERPROFILE%\AppData\LocalLow\BubblesPop
%USERPROFILE%\AppData\LocalLow\WindowPop
2020.1.8发布版又新增两个广告文件夹(感兴趣的同学可自行分析)

WnAccount32.exe/WnAccount64.exe 32位或64位,正常情况下保留一个,也可以自制脚本完全跳过!

O.新版闪动的美女广告是如何出现广告的?到底源于哪个文件?哪个文件会是祸首?WnTool.exe 内置闪动的美女弹出式广告

img

P.WnCloud.exe(云联网词库)程序中是否真如火绒软件发现的哪样有不轨行为?
WnImeRepair.exe 内置广告,会自动下载和修复

N.WnImeRepair.exe这个修复输入法的文件有如何运作的?里边是否暗藏哪些猫腻?

Yes

1579440825180

1579440915327

J.wnhelper.exe这个垃圾文件由哪个文件产生的?
具体不确定到底是哪一个,但是我们可以通过超级精简文件夹达到不再生成

K.神秘的MD5
我们在配置文件中发现了MD5字样

UseVestige.ini中也存在!

1579441034910

同理,我们在程序所在目录的字典目录下,也会发现多处这个数值
而我们查看看雪论坛以前的老贴,就会发现作案记录。

新版本2020.1.8号发布的版本更加的变态%-%,竟然狂飙到了4个

又因为L(汇编修改了文件后)也会出现下面的dump文件
所以综上所述,多数问题迎刃而解。是暗桩。

L.dump这样的垃圾文件夹为什么会产生?
多个IME文件里都有,我们可以做微创手术;其他EXE,配置啥的,我们可以精简或无视

M.vip需要修改的文件的定位

打开TotalCommander,定位到解包的目录下,搜索下SuperQinMei

这样就知道有哪些需要手术了吧?!

N.程序运行流程图的制作

注册流程图

a.WnCloud.exe
b.WnTool.exe
c.WnImeRepair.exe

先解决Wncloud.exe文件中的广告

img

TC中搜索广告关键字

找到后WinHEX中,Ctrl+F,Ctrl+L,填充为 00

img

img

img

回车查看并修改之

img

上面的这个文件,也可以直接返回注册标志

mov al,1;ret

wntool.exe、WnImeRepair这两个同样替换掉网址

会员皮肤功能的破解

WnSkinInst.exe的汇编修改:
要调试这个文件,我是这么操作的。

先将会员版的皮肤文件复制到[虚拟机]中的这个skin文件夹,一两个就足够了。
如果直接双击. wnpf /.swnpf 就会弹出 如图22所示的对话框!
前文已经分析过了,要调试这样的文件,我们需要如下命令: WnSkinInst.exe -install c:\我的亲妹.swnpf

当你调试过一次之后
你的OD菜单中就会有过记录了

第一次,我们直接按F9,先看一下带参数运行是否正常?

如图38所示
我们按上面的查找方法,还是先找一下SuperQinMei
找到后,段首修改为mov al,1;ret
先覆盖保存一下,Ctrl+F2之后

我们查下成功 和 失败的

我们给段首下断,发现目前不满足条件,还抵达不到上面的这些代码处,但是已经弹框
继续暂停堆栈,查看上一级调用点

如图40所示,反正不是粉一号框框,就是粉二号框框,都回车看看就知道了,原来是二号。

img
img
img

img
到了这一步,是不是很激动人心呢!?我们得到了程序98%的会员功能。
接下来,万事俱备,只欠东风,我们可以来调试分析修改WnSkinbox.exe(这个皮肤浏览器了,因为安装的通道被激活了!你已经有安装会员皮肤的资本了~~
同时在我的亲妹输入法的弹出右键菜单中,你也可以直接点选那些会员皮肤了)
最后修改的是这个WnSkinbox.exe文件,这个文件可是一个难缠的臭豆腐,因为修改的地方很多很多,并且这个程序几个版本中老的最为稳定,新的有显示上的bug
但是如果跟到了合理的位置,我们抓包下载会员的皮肤,却相当的容易和简单。
下面就对它进行一下分析和修改。

WnSkinbox.exe

1579487498758

该软件的不足:首先要说的是楼主姐对这个输入法是相当的有感情的。在这里写这篇逆向分析文章不是要让那些懒惰的坏同学都去修改它成为超级会员版
而是要告诉大家,逆向分析是一件很过瘾和有兴趣的工作。我们通过分析和拆解它的各方面功能模块可以进一步的了解软件是如何运作的?和它的工作原理,这样我们自己就能编出更合理、更高效、少犯错的程序了。同时国产软件也当真是活着不容易,譬如多年前有款叫HI输入法就被谷哥抄袭了,而如今
那个网站再也打不开了,那几个大学生创业者也因此失业了。这么好的英文辅助输入法软件又有多少人知道呢?还有N多的国产游戏,如今的制作水平也是跟国外有太大的差距。这跟当年的盗版横行,收不到制作费是脱离不了关系的。所以我们要保护国产软件,希望她的使用者增多,而不是通过一种流氓广告比较无赖和遭人痛恨的方式来带来收入,而是希望她薄利多销。这样用的人多,制作的也相当不错,才有更多的人带来更好的各方面效益吧。而不是在迫害国产软件,假如都像前面举例所说,让它们玩蛋了,作者取不到收入,那么谁来做下一个版本的升级和开发?没有了活人的维护,我们怎么又能使用到新版本?而不是更多无奈化的强制加广告取得更多收入的版本呢?
希望给人们带来更多的反思。
最后再来说一下不足之处:
第一:这个软件首先是体积比较大,这点令人有点无奈,想当年是绝对是纯粹的绿色软件,
可以只在一个目录下生成自身的配置文件或使用内置的输入法来运行。如今可是多处散落文件,显得实在是很凌乱。
第二:这个软件感觉有太多的重复的地方:
比如多个IME文件,文件目录中也有系统目录中也有。内置外置使用的文件都不相同。
WnWizard.exe、WnConfig.exe这两个文件也显得有点多余,明明可以编程搞在一个界面里,全部来设置的。
它却第一次安装启动时一次,之后再使用配置文件来配置用户使用习惯。
BackMB和DICT目录,我们用7z打开安装包,就会知道默认有这个目录,但安装和使用时就会发现,它自己占了两亩地,一个位于自身
目录下,一个则在%USERPROFILE%\AppData\LocalLow\;虽说现在的硬盘都很大,但也不能这么铺张吧?
时刻都在生成UseVestige.ini这样的用户一分钟打了多少字的文件。
第三:通过多次跟踪分析各个文件,就会发现程序的运作过程中很多重复的地方。
比如在读取用户INI文件,登录,判断会员功能的地方,几乎上下文逻辑上是差不多的。
这也是造成该输入法有时上屏慢,或不上屏,或各种古怪的bug出现的因素之一吧。
如果用户是只菜鸟呢?不懂精简服务和汇编逆向分析呢?难怪这些人喊广告多。
最后最后希望这个输入法能越来越好,有更多的粉丝使用。

输入法核心功能的破解

外挂文件的汇编(wnwb.exe)/其他几个IME文件的汇编

改法与上面相同

不再赘述。

后来使用一段时间后,发现里边有个天大的奥秘,程序会让常用的N多程序瞬间崩溃,包括QQ,Chrome,Tim,wps。。。

太多了,具体还是看截图吧。

5D472D90 <wntsf3 | 55 | push ebp ret掉

时间和修改的完美度问题,不再赘述,新版已经不能单纯的这样修改了

1) 初级文件补丁

给文件打补丁的工具很多,比如dup2等

但是要打补丁的文件实在是太多了,这实在是个很纠结的问题
其他文件同理

2) 打造属于自己风格私人定制版的破解专属音乐

我们使用OpenMPT-1.28.03.00加载备好的MP3文件,导出XM支持的格式

这样上述工具dup2就能读取了

3) 打造属于自己风格私人定制版的破解专属皮肤

使用uPPP SkinHelper来读取skin.ini,并加载用Photoshop导出的透明PNG皮肤文件

终于到大白补丁Baymax上场的时刻了,通杀补丁是恐怖的。内存补丁比一般文件补丁更高明,模糊匹配有更大的容错性。

1)修改配置文件准备槽位

调用wntool.exe以增加全部工具,这样我们就让生成%USERPROFILE%\AppData\LocalLow\配置档文件

2)讯飞语音绿色版的提取

将讯飞语音输入法安装,然后提取下面这些文件,得到超级绿色版所需文件

D:\图文处理\讯飞语音
├(1)BlcCore.dll
├(2)BlcPlatform.dll
├(3)DuiLib.dll
├(4)iFlyBaseLogic.dll
├(5)iFlyBuilder.dll
├(6)iflycommon.dll
├(7)iFlyLog.dll
├(8)iflyNewLog.dll
├(9)iFlyPlatform.exe
├(10)iFlyPyLogic.dll
├(11)iFlySpeechLogic.dll
├(12)iFlyVoice.exe
├文件夹1:[Microsoft.Windows.PrivateCPlusPlusRuntime]
│ ├(1)Microsoft.Windows.PrivateCPlusPlusRuntime.manifest
│ ├(2)msvcp100.dll
│ ├(3)msvcr100.dll
│ └█
├文件夹2:[msc]
│ ├文件夹1:[b6adf995c379a049e788e356ffd88eac]
│ │ ├(1)u.data
│ │ ├(2)urec.data
│ │ └█
│ └█
├(13)msc.dll
├文件夹3:[skin]
│ ├(1)default.it
│ ├(2)iFlyIME.ifly
│ ├(3)menu_about.png
│ ├(4)menu_feedback.png
│ ├(5)menu_help.png
│ ├(6)menu_imemanage.png
│ ├(7)menu_set.png
│ ├(8)menu_statushide.png
│ ├(9)menu_symbol.png
│ ├(10)menu_update.png
│ ├(11)pencil.cur
│ ├(12)Skin.ini
│ ├(13)skin_select.png
│ └█
├文件夹4:[万能语音]
│ ├(1)万能语音.rar
│ └█
├文件夹5:[最新一代讯飞语音输入法]
│ ├(1)BlcCore.dll
│ ├(2)BlcPlatform.dll
│ ├(3)DuiLib.dll
│ ├(4)iFlyBaseLogic.dll
│ ├(5)iFlyBuilder.dll
│ ├(6)iflycommon.dll
│ ├(7)iFlyLog.dll
│ ├(8)iflyNewLog.dll
│ ├(9)iFlyPlatform.exe
│ ├(10)iFlyPyLogic.dll
│ ├(11)iFlySpeechLogic.dll
│ ├(12)iFlyVoice.exe
│ ├文件夹1:[Microsoft.Windows.PrivateCPlusPlusRuntime]
│ │ ├(1)Microsoft.Windows.PrivateCPlusPlusRuntime.manifest
│ │ ├(2)msvcp100.dll
│ │ ├(3)msvcr100.dll
│ │ └█
│ ├文件夹2:[msc]
│ │ ├文件夹1:[b6adf995c379a049e788e356ffd88eac]
│ │ │ ├(1)u.data
│ │ │ ├(2)urec.data
│ │ │ └█
│ │ └█
│ ├(13)msc.dll
│ ├文件夹3:[skin]
│ │ ├(1)default.it
│ │ ├(2)iFlyIME.ifly
│ │ ├(3)menu_about.png
│ │ ├(4)menu_feedback.png
│ │ ├(5)menu_help.png
│ │ ├(6)menu_imemanage.png
│ │ ├(7)menu_set.png
│ │ ├(8)menu_statushide.png
│ │ ├(9)menu_symbol.png
│ │ ├(10)menu_update.png
│ │ ├(11)pencil.cur
│ │ ├(12)Skin.ini
│ │ ├(13)skin_select.png
│ │ └█
│ └█
├(14)讯飞语音备份.iso
└█

3)亲妹语音输入法的提取

定位到以下两个文件夹
%USERPROFILE%\AppData\LocalLow\WanNengWBIME
├文件夹1:[AllSkin]
│ └█
├文件夹2:[Config]
│ ├(1)Config.ini
│ ├(2)Related.ini
│ ├(3)UseVestige.ini
│ ├(4)vip.conf
│ └█
├文件夹3:[Skin]
│ ├(1)activity1.png
│ ├(2)activity2.png
│ ├(3)activity3.png
│ ├(4)an1.png
│ ├(5)an2.png
│ ├(6)an3.png
│ ├(7)ban1.png
│ ├(8)ban2.png
│ ├(9)ban3.png
│ ├(10)Bar.png
│ ├(11)Cand.png
│ ├(12)cn1.png
│ ├(13)cn2.png
│ ├(14)cn3.png
│ ├(15)cn_biaodian1.png
│ ├(16)cn_biaodian2.png
│ ├(17)cn_biaodian3.png
│ ├(18)Comp.png
│ ├(19)Cut1.png
│ ├(20)Cut2.png
│ ├(21)Cut3.png
│ ├(22)en1.png
│ ├(23)en2.png
│ ├(24)en3.png
│ ├(25)en_biaodian1.png
│ ├(26)en_biaodian2.png
│ ├(27)en_biaodian3.png
│ ├(28)fan1.png
│ ├(29)fan2.png
│ ├(30)fan3.png
│ ├(31)FanTi.png
│ ├(32)Hand1.png
│ ├(33)Hand2.png
│ ├(34)Hand3.png
│ ├(35)jian1.png
│ ├(36)jian2.png
│ ├(37)jian3.png
│ ├(38)JianTi.png
│ ├(39)key1.png
│ ├(40)key2.png
│ ├(41)key3.png
│ ├(42)logo1.png
│ ├(43)logo2.png
│ ├(44)logo3.png
│ ├(45)menu1.png
│ ├(46)menu2.png
│ ├(47)menu3.png
│ ├(48)pass1.png
│ ├(49)pass2.png
│ ├(50)pass3.png
│ ├(51)passon1.png
│ ├(52)passon2.png
│ ├(53)passon3.png
│ ├(54)quan1.png
│ ├(55)quan2.png
│ ├(56)quan3.png
│ ├(57)QuanPin.png
│ ├(58)Setting.png
│ ├(59)Skin.xml
│ ├(60)skinbox1.png
│ ├(61)skinbox2.png
│ ├(62)skinbox3.png
│ ├(63)SkinH.png
│ ├(64)SkinHCand.png
│ ├(65)SkinHComp.png
│ ├(66)SkinV.png
│ ├(67)SkinVCand.png
│ ├(68)SkinVComp.png
│ └█
├文件夹4:[SkinUser]
│ ├文件夹1:[SkinFav]
│ │ └█
│ ├文件夹2:[SkinMenu]
│ │ ├文件夹1:[Preview]
│ │ │ └█
│ │ ├(1)SkinMenu.ini
│ │ └█
│ ├文件夹3:[SkinPreview]
│ │ └█
│ ├文件夹4:[SkinUse]
│ │ └█
│ └█
├文件夹5:[UseData]
│ ├(1)UseData.ini
│ └█
└█

%USERPROFILE%\AppData\LocalLow\WanNengWBIME.users
├文件夹1:[BackMB]
│ └█
├文件夹2:[ClipData]
│ ├(1)clip.conf
│ ├文件夹1:[Image]
│ │ └█
│ └█
├文件夹3:[Dict]
│ └█
├文件夹4:[MB]
│ ├(1)UserData.db
│ ├(2)UserFreqData.db
│ └█
└█

4)搜狗手写输入的提取

\AllSkin\
\Components\
\FlashPreview\
\Plugins\
\Plugins64\
\RichInput\
\scd\
\code.bin
\py.bin
\pycode.bin
\sgim_eng.bin
\sgim_querypy.bin
\sgim_quick.bin
\sgim_tra.bin
\sgim_url.bin
\wb.bin
\PersonalCenter.cupf
\QQWbConfig.cupf
\richinput.cupf
\SGWbConfig.cupf
\SGWbWizard.cupf
\SGWbWizardNew.cupf
\ToolBox.cupf
\WbEtymonMap.cupf
\WbSkin.dat
\HWSignature.dll
\Popup.dll
\Resource.dll
\SogouTSF.dll
\ZipLib.dll
\ZipLib64.dll
\ConfigIE.exe
\ImeUtil.exe
\ScdReg.exe
\SkinReg.exe
\SogouWBSvc.exe
\SpeedMeter.exe
\UserPage.exe
\WbConfig.exe
\WbUserNetSchedule.exe
\FlashSkinPreview.ini
\gamelist.ini
\phrases.ini
\Punctures.ini
\runtime.ini
\scdlist.ini

5)用Delphi搞一个五笔字根歌诀表功能的外置EXE

打开Delphi 10.3.1
添加一个图片控件
到网上找一张好看的五笔字根图
将其添加进来到图片控件中来
F9编译
替换掉主程序目录下的一个EXE文件

6)超级一键截屏功能的外挂EXE模块

winsnap是个不错的截图工具,将以前做好的DIY特别版准备好,将主程序同样扔到亲妹输入法主程序所在目录替换其他工具exe文件

7)屏幕OCR功能模块的提取

本想提取QQ的OCR功能
发现这是一个不可能完成的任务
所以从论坛找个体积小,功能说得过去的凑合下吧。

8)巧用配置档跳过VIP验证文件(实现超级精简最小化一级合体版)

%USERPROFILE%\AppData\LocalLow\WanNengWBIME\Config\Config.ini
IsUseZGPegging=1即可
这样如不需要再修改配置
那么下面的
wnconfig.exe
wnwizard.exe
完全无视吧!

若是不需要字典,词库的安装

WnDictInst.exe
WnWordManager.exe
可以不要!

若要使用咱们自己定义的词库,则保留下面的文件
%USERPROFILE%\AppData\LocalLow\WanNengWBIME.users\MB
├(1)UserData.db
├(2)UserFreqData.db
└█

若是不要会员皮肤则skin目录可以不要
若是想要就保留
同时
WnSkinInst.exe
DuiLib32.dll
则保留

以下文件夹,和上面提到的这些东东,备用
BackMB
Dict
EUDC 会员五笔字根提示功能
Font
保留,准备一会"拼盘"

准备以下两个文件
wnTSF.ime_32
wnTSF.ime_64
一会编脚本来模拟制作安装文件

9)葫芦娃本领大,六金刚终极合体


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2020-1-23 09:46 被ninebell编辑 ,原因:
上传的附件:
收藏
免费 1
支持
分享
最新回复 (21)
雪    币: 35775
活跃值: (7155)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
 这是图片层。

最后于 2020-1-23 09:47 被ninebell编辑 ,原因:
上传的附件:
2019-11-21 08:14
0
雪    币: 688
活跃值: (3630)
能力值: (RANK:15 )
在线值:
发帖
回帖
粉丝
3
很强
2019-11-22 11:05
0
雪    币: 35775
活跃值: (7155)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4

@BkHumor @editor
感谢支持,其实上面的代码有个小技巧:
这个技巧只传给看雪论坛的坛友,那个吾爱的坛友就不告诉了。
根据破解时的临近法则:
我们可以这样来快速尝试修改
破解技巧
如图所示,我们综合看这几句:
又有子程序调用
还有test XXX
接着是J XXX 跳转
。。。
后面出现了弹框
010C7526这个前面共有三次调用,
那么由此推断010C7526这句十分的重要~~
所以,F7进入后,修改mov al,1;ret
返回值就有可能直接打通此处关卡,这样碰到类似的就不用费精力仔细的分析了。
多多总结各种小技巧,并编成歌诀,做成书样本是提高学习成绩的好办法。

最后于 2019-11-22 16:30 被ninebell编辑 ,原因:
2019-11-22 16:28
0
雪    币: 2361
活跃值: (324)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
受教了,我比较关心楼主的流程图是用什么软件画的?哈哈
2019-11-22 17:00
0
雪    币: 16436
活跃值: (1695)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
@少尉  用的是MindManager2020,楼主的截图上面露陷了。
2019-11-22 17:11
0
雪    币: 11
活跃值: (58)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
老哥太强了!!
2019-11-22 20:05
0
雪    币: 2361
活跃值: (324)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
谢谢,哈哈
2019-11-29 10:08
0
雪    币: 2361
活跃值: (324)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
楼主的这个API监控工具是什么?看名字是Monitoring,但没在网上看到有相关信息或者介绍
2019-11-29 11:25
0
雪    币: 35775
活跃值: (7155)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
10
api monitor
自己DIY过的,方便活人一眼定位到设断的那行信息。
2019-11-29 11:31
0
雪    币: 2361
活跃值: (324)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
谢谢
2019-11-29 12:30
0
雪    币: 193
活跃值: (857)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
12
谢谢楼主的指引!
2019-12-22 20:41
0
雪    币: 47147
活跃值: (20460)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
13

引用 预计本贴一个月内完成。

若本帖结束了,记得改下标题,加个后缀“ (全文完成)”
2020-1-11 18:03
0
雪    币: 35775
活跃值: (7155)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
14
kanxue 引用 预计本贴一个月内完成。 若本帖结束了,记得改下标题,加个后缀“ (全文完成)”
@kanxue 
没写完,程序新版有暗桩,我已经完美破解并观察1个多月没啥问题了。后续文章这几天有待补充和修改。
2020-1-12 08:33
0
雪    币: 914
活跃值: (2468)
能力值: ( LV5,RANK:68 )
在线值:
发帖
回帖
粉丝
15
所以 这个到底是哪个公司的产品啊
2020-1-12 09:06
0
雪    币: 26
活跃值: (256)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
真 全面逆向分析 
2020-1-13 07:01
0
雪    币: 2938
活跃值: (18)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
17
极点五笔,就够用了.不折腾.
2020-1-13 13:00
0
雪    币: 35775
活跃值: (7155)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
18
万剑归宗 所以 这个到底是哪个公司的产品啊
@万剑归宗
《加密与解密第四版》书中提到的那唯一的那款外挂输入法。版权原因自行体会。
2020-1-23 14:16
0
雪    币: 54
活跃值: (115)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
太秀了 兄弟
2020-1-23 22:16
0
雪    币: 35775
活跃值: (7155)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
20
查找机器码:
6EB6B545         E8 65 3B FE FF       call <??8CDuiString@DuiLib@@QBE_NPB_W@ (DuiLib.dll中)
6EB6B54A         84 C0                  test al,al                            
6EB6B54C         74 26                 je 6EB6B574                            果然修改这里!NOP掉!

E8 65 3B FE FF 84 C0 74 26 这样修改可以,但有bug,修改一个共用dll
2020-2-18 19:35
0
雪    币: 193
活跃值: (308)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
强悍!膜拜一下!
2020-11-18 00:00
0
雪    币: 683
活跃值: (622)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
冲这滚动条,先赞在说
2020-11-18 01:04
0
游客
登录 | 注册 方可回帖
返回
//