整理，记录下自己分析这个破解的过程和几个方法。

0x01 介绍

但是实际去安装，那补丁补了啥，安全软件报毒，你进调试器一看就奔溃了，文件VMP保护。好奇心驱使我还是想看看这个补丁怎么玩的，但是VMP是不想去碰的，

0x02 撸Linux版本

在gayhub上看到有Linux的补丁，心想这回没有VMP了吧？把补丁拉到IDA看到了UPX，心想还行，UPX咱是会ESP平衡的，就开始上手分析了，撸了各种ELF脱UPX的帖子发现完全不是一回事！
使用x64dbg分析前还是会先查壳，难道这个UPX是魔改的？（对Linux的壳没怎么了解过），直接上binwalk走了一遍：

我说兄弟：你不讲武德，说好的UPX，你这是干啥！！！看到加密内容，瞬间就不想和它刚了！虽然我还是各种API跟踪，各种断点跑了几次。

0x03 自行分析：

想想原文件没有保护，可能直接分析更容易？？？自行分析的输入是知道补丁是wvsc文件，但是它不是以服务存在，从它的帮助输出应该是执行扫描任务的，那是有服务会调用它？怎么调用？会有啥参数呢 ？带着问题，想想可以通过加脚本来监控对它的调用：

上面是脚本内容，主要是用脚本替换原来wvsc文件，在脚本中再根据调用参数执行wvsc.p文件，输出一条日志，这样不一会儿我就监控到了调用输出：

从上面的信息可以看到调用参数为：/lic，但是wvsc的帮助输出里是没有这个信息的，这是隐藏功能，同时可以看到基本10分钟左右会执行一次，我手动执行一次这个命令，发现它没有啥输出：

同时对比，我通过对补丁文件和原文件分析执行，发现授权状态是会发生变化的，这样感觉执行命令应该是生成了什么信息，保存到了哪儿？想到了lincense_info.json文件的路径，在路径上找到了新生成的wa_data.dat文件。

所以从上面的过程整理下来：

1. 通过wvsc进行认证处理。
2. 认证为10分钟执行一次认证，并生成文件：wa_data.dat
3. 认证命令：wvsc /lic # 这个参数在文件帮助中是看不到的，隐藏功能。

知道了这些，感觉已经清楚了，而且windows环境比linux环境上好调试点（x64dbg好用），直接就转windows调试了，过程就不表了（没有任何保护，直接分析）

你说你们VMP，UPX个啥？？？

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课