[求助]如何破解次数限制？-求助问答-看雪-安全社区|安全招聘|kanxue.com

未解决 [求助]如何破解次数限制？

发表于: 2024-2-14 23:22 1963

未解决 [求助]如何破解次数限制？

martin325

2024-2-14 23:22

1963

最近尝试一款小软件，有免安装版，软件名称为Aba Search and Replace，下载地址：https://www.abareplace.com/download/

时间限制与注册提醒弹窗，均可去除，但它的未注册版限制只能替换3次搜索到的字符。本人实在找不到修改点，特发帖求助。

限制只能替换3次的弹窗代码如下：
0000000140003FA3 | FF15 97170500 | call qword ptr ds:[<MessageBoxW>] |

请高手帮忙分析一下，这个3次的限制在哪？学习一下，感谢……

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (11)
huangyalei 雪币： 25346 活跃值： (4742) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 376 粉丝 9 关注私信	huangyalei 2 楼弹窗代码上面有判断紧接着跳转： 0000000140003F34 \| 83FE 03 \| cmp esi,0x3 \| 0000000140003F37 \| 0F86 C7000000 \| jbe abareplace64.140004004 \| 将此处跳转改为 jmp 后弹窗跳过，但发现 3 次限制未解除在 API WriteFile 下断，定位到写入替换字符的指令： 0000000140029B9C \| FF15 96B70200 \| call qword ptr ds:[<WriteFile>] \| 堆栈回溯一级找到调用 call，此 call 只执行了 3 次，猜想这里是关键点： 000000014000FB7B \| E8 809C0100 \| call <abareplace64.sub_140029800> \| 向上看有判断跳过这个 call： 000000014000F99A \| 41:85C4 \| test r12d,eax \| 000000014000F99D \| 74 04 \| je abareplace64.14000F9A3 \| 000000014000F99F \| 45:8957 24 \| mov dword ptr ds:[r15+0x24],r10d \| 000000014000F9A3 \| 41:837F 24 00 \| cmp dword ptr ds:[r15+0x24],0x0 \| 000000014000F9A8 \| 0F84 59020000 \| je abareplace64.14000FC07 \| 改为： 000000014000F99D \| EB 04 \| jmp abareplace64.14000F9A3 \| 3 次替换限制解除 2024-2-15 02:07 0
martin325 雪币： 4578 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 57 粉丝 1 关注私信	martin325 3 楼感谢指导但不明白的是，为何说je abareplace64.14000F9A3是跳过下面很远的这个call <abareplace64.sub_140029800> 呢？通过调试得到的？直观看跳转关系，好像看不出来 2024-2-15 05:16 0
martin325 雪币： 4578 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 57 粉丝 1 关注私信	martin325 4 楼 huangyalei 弹窗代码上面有判断紧接着跳转： 0000000140003F34 \| 83FE 03 \| cmp esi,0x3 ... 请教不知您是如何调试的？我没法调试（用的是x64dbg），经常调试到半途就停止了！上述的弹窗call，是通过附加，再查看堆栈得到的。像您这样下断API后，如何才能顺利调试呢？ 2024-2-15 05:54 0
martin325 雪币： 4578 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 57 粉丝 1 关注私信	martin325 5 楼 AbaReplace32 的也搞定了，依葫芦画瓢搞出来的，再次感谢！ 32位的改法稍微有点不一样；AbaReplace32.exe（3 次替换限制解除）： 0040CB9D \| 854424 1C \| test dword ptr ss:[esp+1C],eax \| =》test dword ptr ss:[esp+1C],0x1 但调试如何顺利进行到底，还没搞明白最后于 2024-2-15 07:11 被martin325编辑，原因： 2024-2-15 06:49 0
huangyalei 雪币： 25346 活跃值： (4742) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 376 粉丝 9 关注私信	huangyalei 6 楼 martin325 感谢指导但不明白的是，为何说je abareplace64.14000F9A3是跳过下面很远的这个call 呢？通过调试得到的？直观看跳转关系，好像看不出来是下面的 je abareplace64.14000FC07 跳过改 je abareplace64.14000F9A3 是为了满足上面指令跳转的条件 2024-2-15 09:11 0
huangyalei 雪币： 25346 活跃值： (4742) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 376 粉丝 9 关注私信	huangyalei 7 楼 martin325 请教不知您是如何调试的？我没法调试（用的是x64dbg），经常调试到半途就停止了！上述的弹窗call，是通过附加，再查看堆栈得到的。像您这样下断API后，如何才能顺利调试呢？不明白你为何不能顺利调试，这个程序又没有反调试下了断点，执行到断点的时候应该会断下的如果断下后不能继续执行，你把所有线程恢复看看我记得上面的代码是在子线程中执行的 2024-2-15 09:17 0
huangyalei 雪币： 25346 活跃值： (4742) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 376 粉丝 9 关注私信	huangyalei 8 楼 martin325 AbaReplace32 的也搞定了，依葫芦画瓢搞出来的，再次感谢！32位的改法稍微有点不一样；AbaReplace32.exe（3 次替换限制解除）：0040CB9D&nb ... 这种见子打子的方式不是最好的修改方式，最好是找到判断是否注册的地方，可能会有一个全局变量，上面三处限制（或许还会有其他限制）通过这个全局变量判断是否注册，把这个全局变量改为已注册就可以了，思路给你了，是否可行就留给你自己分析了 2024-2-15 09:25 0
martin325 雪币： 4578 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 57 粉丝 1 关注私信	martin325 9 楼 huangyalei 是下面的 je abareplace64.14000FC07 跳过改 je abareplace64.14000F9A3 是为了满足上面指令跳转的条件哦，这个我后面仔细看了后，领会了。所以也知道了32位的修改之法。 2024-2-15 09:25 0
martin325 雪币： 4578 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 57 粉丝 1 关注私信	martin325 10 楼我也不知道啊，我用的x64dbg_2024-01-06_21-29，还是最新版，没做改动的。下断点后，运行调试，软件界面出来后，在软件界面选择搜索文件夹后，调试就自动卡壳了，再也进行不下去，那个替换的操作出不来了，就是软件程序最右下角的replace按钮不会出来 2024-2-15 09:28 0
martin325 雪币： 4578 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 57 粉丝 1 关注私信	martin325 11 楼 huangyalei 这种见子打子的方式不是最好的修改方式，最好是找到判断是否注册的地方，可能会有一个全局变量，上面三处限制（或许还会有其他限制）通过这个全局变量判断是否注册，把这个全局变量改为已注册就可以了，思路给你了， ... 老大，我知道这个思路，但碍于水平，暂时找不到判断是否注册的地方哎。只好摸着石头过河了。暂时没发现其他障碍。最后于 2024-2-15 09:35 被martin325编辑，原因： 2024-2-15 09:34 0
martin325 雪币： 4578 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 57 粉丝 1 关注私信	martin325 12 楼它是通过网络注册的，我猜想试用版程序里，没有判断全局注册的修改点。 2024-2-15 09:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

martin325

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
huangyalei 雪币： 25346 活跃值： (4742) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 376 粉丝 9 关注私信	huangyalei 2 楼弹窗代码上面有判断紧接着跳转： 0000000140003F34 \| 83FE 03 \| cmp esi,0x3 \| 0000000140003F37 \| 0F86 C7000000 \| jbe abareplace64.140004004 \| 将此处跳转改为 jmp 后弹窗跳过，但发现 3 次限制未解除在 API WriteFile 下断，定位到写入替换字符的指令： 0000000140029B9C \| FF15 96B70200 \| call qword ptr ds:[<WriteFile>] \| 堆栈回溯一级找到调用 call，此 call 只执行了 3 次，猜想这里是关键点： 000000014000FB7B \| E8 809C0100 \| call <abareplace64.sub_140029800> \| 向上看有判断跳过这个 call： 000000014000F99A \| 41:85C4 \| test r12d,eax \| 000000014000F99D \| 74 04 \| je abareplace64.14000F9A3 \| 000000014000F99F \| 45:8957 24 \| mov dword ptr ds:[r15+0x24],r10d \| 000000014000F9A3 \| 41:837F 24 00 \| cmp dword ptr ds:[r15+0x24],0x0 \| 000000014000F9A8 \| 0F84 59020000 \| je abareplace64.14000FC07 \| 改为： 000000014000F99D \| EB 04 \| jmp abareplace64.14000F9A3 \| 3 次替换限制解除 2024-2-15 02:07 0
martin325 雪币： 4578 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 57 粉丝 1 关注私信	martin325 3 楼感谢指导但不明白的是，为何说je abareplace64.14000F9A3是跳过下面很远的这个call <abareplace64.sub_140029800> 呢？通过调试得到的？直观看跳转关系，好像看不出来 2024-2-15 05:16 0
martin325 雪币： 4578 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 57 粉丝 1 关注私信	martin325 4 楼 huangyalei 弹窗代码上面有判断紧接着跳转： 0000000140003F34 \| 83FE 03 \| cmp esi,0x3 ... 请教不知您是如何调试的？我没法调试（用的是x64dbg），经常调试到半途就停止了！上述的弹窗call，是通过附加，再查看堆栈得到的。像您这样下断API后，如何才能顺利调试呢？ 2024-2-15 05:54 0
martin325 雪币： 4578 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 57 粉丝 1 关注私信	martin325 5 楼 AbaReplace32 的也搞定了，依葫芦画瓢搞出来的，再次感谢！ 32位的改法稍微有点不一样；AbaReplace32.exe（3 次替换限制解除）： 0040CB9D \| 854424 1C \| test dword ptr ss:[esp+1C],eax \| =》test dword ptr ss:[esp+1C],0x1 但调试如何顺利进行到底，还没搞明白最后于 2024-2-15 07:11 被martin325编辑，原因： 2024-2-15 06:49 0
huangyalei 雪币： 25346 活跃值： (4742) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 376 粉丝 9 关注私信	huangyalei 6 楼 martin325 感谢指导但不明白的是，为何说je abareplace64.14000F9A3是跳过下面很远的这个call 呢？通过调试得到的？直观看跳转关系，好像看不出来是下面的 je abareplace64.14000FC07 跳过改 je abareplace64.14000F9A3 是为了满足上面指令跳转的条件 2024-2-15 09:11 0
huangyalei 雪币： 25346 活跃值： (4742) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 376 粉丝 9 关注私信	huangyalei 7 楼 martin325 请教不知您是如何调试的？我没法调试（用的是x64dbg），经常调试到半途就停止了！上述的弹窗call，是通过附加，再查看堆栈得到的。像您这样下断API后，如何才能顺利调试呢？不明白你为何不能顺利调试，这个程序又没有反调试下了断点，执行到断点的时候应该会断下的如果断下后不能继续执行，你把所有线程恢复看看我记得上面的代码是在子线程中执行的 2024-2-15 09:17 0
huangyalei 雪币： 25346 活跃值： (4742) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 376 粉丝 9 关注私信	huangyalei 8 楼 martin325 AbaReplace32 的也搞定了，依葫芦画瓢搞出来的，再次感谢！32位的改法稍微有点不一样；AbaReplace32.exe（3 次替换限制解除）：0040CB9D&nb ... 这种见子打子的方式不是最好的修改方式，最好是找到判断是否注册的地方，可能会有一个全局变量，上面三处限制（或许还会有其他限制）通过这个全局变量判断是否注册，把这个全局变量改为已注册就可以了，思路给你了，是否可行就留给你自己分析了 2024-2-15 09:25 0
martin325 雪币： 4578 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 57 粉丝 1 关注私信	martin325 9 楼 huangyalei 是下面的 je abareplace64.14000FC07 跳过改 je abareplace64.14000F9A3 是为了满足上面指令跳转的条件哦，这个我后面仔细看了后，领会了。所以也知道了32位的修改之法。 2024-2-15 09:25 0
martin325 雪币： 4578 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 57 粉丝 1 关注私信	martin325 10 楼我也不知道啊，我用的x64dbg_2024-01-06_21-29，还是最新版，没做改动的。下断点后，运行调试，软件界面出来后，在软件界面选择搜索文件夹后，调试就自动卡壳了，再也进行不下去，那个替换的操作出不来了，就是软件程序最右下角的replace按钮不会出来 2024-2-15 09:28 0
martin325 雪币： 4578 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 57 粉丝 1 关注私信	martin325 11 楼 huangyalei 这种见子打子的方式不是最好的修改方式，最好是找到判断是否注册的地方，可能会有一个全局变量，上面三处限制（或许还会有其他限制）通过这个全局变量判断是否注册，把这个全局变量改为已注册就可以了，思路给你了， ... 老大，我知道这个思路，但碍于水平，暂时找不到判断是否注册的地方哎。只好摸着石头过河了。暂时没发现其他障碍。最后于 2024-2-15 09:35 被martin325编辑，原因： 2024-2-15 09:34 0
martin325 雪币： 4578 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 57 粉丝 1 关注私信	martin325 12 楼它是通过网络注册的，我猜想试用版程序里，没有判断全局注册的修改点。 2024-2-15 09:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复