Mgosoft PDF (To) Image和Mgosoft PDF Tools的安装与Reverse分析

       Mgosoft PDF To Image可以批量将PDF文件转化为TIFF, JPEG, PNG, BMP, PCX, GIF, WMF, EMF, TGA等图片格式,Mgosoft PDF Image Converter则具有PDF和图片相互转换的功能,Mgosoft PDF Tools具有添加/删除密码,合并/拆分文件,提取页面,添加水印等功能。下面简单介绍如何C_r_a_c_k,所用版本分别为PDF To Image.exe(12.2.7.0, SHA256: 773457300F26BF0DF100BC705E874D7CDA959FC0BC3D3DDE19777288252CF53D), PDF Image Converter.exe(7.2.6.0, SHA256: F1A2A65F8E76BDA6784CE6E625E0E97BF067F830E4E533ECC1BAF70E2816EE84), PDF Tools.exe(7.0.1.0, SHA256: 66C1936C27A4F0B78E86CECC789A21552DB6834E143E96E4F74324AF23FD7083,要先脱去upx壳)。在程序中随意输入注册码,点击Register,弹窗提示Sorry, the License Code are not valid. 在IDA中搜索这个字符串,很容易找到push这个字符串的位置,同时,还能在附近看到“Congratulations! You Have Successfully Registered.”向上立刻就能找到一个关键跳转,跳转前有一个比较指令(cmp eax, 1),比较之前又有一个call,这个call调用的就是判断注册码是否正确的函数,此函数中有好几个or ecx, 0FFFFFFFFh和repne scasb,这是典型的获取字符串长度的代码。有cmp  ecx, 18h和cmp esi, 18h,说明注册码的长度必须是18h(十进制24)。有两个非常显眼的字符串,"QWERTYUIOPLKJHGFDSAMNBVCXZ"和"QAZXSWERTDFGCVBYHNUJMIOPKL",对着键盘看一下就知道这两个字符串是怎么产生的了。在这个判断注册码是否正确的函数return之前,有两个分支通过xor eax, eax让eax=0,有一个分支通过mov eax, 1让eax=1,结合前面提到的cmp eax, 1可知,需要让eax=1,于是Patch的方法就是,让xor eax, eax之后的jmp指令跳到mov eax, 1指令的地址,即E9 F9 00 00 00改成E9 F4 00 00 00,EB AB改成EB A6. 这篇关于Mgosoft PDF Split Merge 9.4.3的Reverse分析的文章更加详细,https://blog.csdn.net/pijianzhirui/article/details/108956361,可以去看看。

Mgosoft PDF (To) Image和Mgosoft PDF Tools的安装与Reverse分析_第1张图片

Mgosoft PDF (To) Image和Mgosoft PDF Tools的安装与Reverse分析_第2张图片

Mgosoft PDF (To) Image和Mgosoft PDF Tools的安装与Reverse分析_第3张图片

Mgosoft PDF (To) Image和Mgosoft PDF Tools的安装与Reverse分析_第4张图片

 

你可能感兴趣的