Apache Log View 5.37破解笔记
之前说过要分享这个日志分析工具【记一次简单的攻击日志分析】的破解版,在破解的路上踩了几个坑,记录分享下。
SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。0×00程序概述
原程序
大小: 2283672 字节
文件版本: 5.0.0.61
修改时间: 2017年11月3日, 8:12:16
MD5: 707AA8FDF34E226C3A942D32C2E739E3
SHA1: B8EDCF75DBE17E40E3B4D7FA99AD5BC3B4B87C93
CRC32: 6A6131AF
去混淆后程序
大小: 2305024 字节
文件版本: 5.0.0.61
修改时间: 2018年3月23日, 23:56:23
MD5: 4FD44749D867B7DA67A7400463315224
SHA1: 49F9DE8BA84C1284C3B3353942EDF322EB85D6D0
CRC32: E306E509
0×01程序侦测
拿到一款程序我通常都会进行侦壳,然后根据结果来选择相应的手段
选用PEiD和DIE来判断
PEiD识别到了一个未知壳。。
好吧,试试die
.net程序,看起来是混淆了
0×02去混淆
由于已经判断了程序被混淆了,尝试用De4dot去混淆,很幸运,一次成功
0×03开工
程序拖入dnSpy,搜索一些关键字[unlock、unlock code、register、thank、check等]
跟到了unlockCodeToolStripMenuItem_Click方法
private void unlockCodeToolStripMenuItem_Click(object sender, EventArgs e) { string text = this.prefs_0.Key; if (!InputForm.smethod_3(“Apache Logs Viewer | “ + Class92.smethod_258(), Class92.smethod_141(), ref text)) { return; } if (text != null) { text = text.Trim();//去空格 } if (string.IsNullOrEmpty(text)) { this.prefs_0.Key = string.Empty; this.bool_0 = false; Prefs.Save(Prefs.Filename, this.prefs_0); this.method_2(this.bool_0); return; } try { this.Cursor = Cursors.WaitCursor; if (text.Length < 22) { throw new ApplicationException(“Failed”);//如果输入字符小于22个,弹窗提示错误 } if (Class2.smethod_1(Class2.smethod_0(text))) //验证注册码是否正确 { this.prefs_0.Key = text; //prefs_0.Key赋值为输入的码 this.method_23(); //联网提交 Prefs.Save(Prefs.Filename, this.prefs_0); this.Cursor = Cursors.Default; this.lbStatusStripNotify.Text = Class92.smethod_247() + ” Apache Logs Viewer.”; MessageBox.Show(this, Class92.smethod_247() + ” Apache Logs Viewer.”, “Apache Logs Viewer”, MessageBoxButtons.OK, MessageBoxIcon.Asterisk); this.bool_0 = true; //返回正确并弹框 } else { MessageBox.Show(this, Class92.smethod_115(), “Apache Logs Viewer | “ + Class92.smethod_258(), MessageBoxButtons.OK, MessageBoxIcon.Hand); this.bool_0 = false;//激活失败 } } catch (Exception) { this.Cursor = Cursors.Default; MessageBox.Show(this, Class92.smethod_89(), “Apache Logs Viewer | “ + Class92.smethod_258(), MessageBoxButtons.OK, MessageBoxIcon.Hand); this.bool_0 = false;//激活失败 } finally { this.Cursor = Cursors.Default; } this.method_2(this.bool_0);
踩第一个坑
好了,分析完这一段代码,直接ctrl+shift+e修改为如下:
public void unlockCodeToolStripMenuItem_Click(object sender, EventArgs e) { string text = this.prefs_0.Key; if (text != null) { text = text.Trim(); } if(string.IsNullOrEmpty(text)) { this.prefs_0.Key = string.Empty; this.bool_0 = false; Prefs.Save(Prefs.Filename, this.prefs_0); this.method_2(this.bool_0); return; } this.Cursor = Cursors.WaitCursor; if (text.Length < 1) { throw newApplicationException(“Failed”); } this.prefs_0.Key = text; Prefs.Save(Prefs.Filename, this.prefs_0); this.Cursor = Cursors.Default; this.lbStatusStripNotify.Text = Class92.smethod_247() + ” Apache Logs Viewer.”; MessageBox.Show(this, Class92.smethod_247() + ” Apache Logs Viewer.”, “Apache Logs Viewer”, MessageBoxButtons.OK, MessageBoxIcon.Asterisk); this.bool_0 = true; this.method_2(this.bool_0); }}
然后保存
嗯,不用输入字符都能注册了
关闭,重启程序
EXM???我尼玛???
咋成未注册了,不对,冷静分♂析下,一定是漏了哪步
踩第二个坑
如果有重启验证,那么肯定是本地保存了注册码,要么是文件格式要么是注册表,于是用PM跟踪了他的行为,发现了有♂趣的东西
这货竟然把配置文件保存在C:\Users\Admin\AppData\Roaming\apachelogsview\conff.xml
那我不是改注册码就能完成注册了吗?(事实证明我太天真)
改了一个好看点的注册码:
结果依然……
继续分析
0×04柳暗花明
在一番分析后发现了一个名为method_2的方法不停的被调用,难道为关键方法?
逐全局搜索method_2,发现在启动时调用了method_2
private void MainForm_Load(object sender, EventArgs e) { try { if(Class91.bool_2) { Prefs.DeletePrefs(); } ALV.Common.Debug.Info("Started.."); Prefs prefs = Prefs.Load(Prefs.Filename); if (string.IsNullOrEmpty(prefs.InstallID)) { prefs.InstallID = Guid.NewGuid().ToString(); } if (prefs.sizex > 10) { base.Width = prefs.sizex; } if (prefs.sizey > 10) { base.Height = prefs.sizey; } if (prefs.maximised) { base.WindowState = FormWindowState.Maximized; } if (prefs.x >= 0 && prefs.y >=0) { base.Location = new Point(prefs.x, prefs.y); } this.prefs_0 = prefs; if (this.prefs_0.logColumns == null ||this.prefs_0.logColumns.Count <= 0) { this.prefs_0.logColumns = LogColumn.ResetLogColumns(); } ALV.Common.Debug.Info("Loading Custom Columns"); this.prefsColumns_0 = PrefsColumns.Load(PrefsColumns.Filename); this.method_42(); DummyListView.prefs = prefs; ALV.Common.Debug.Info("Loading IP DB"); this.ip2Country_0 = new IP2Country(true, this.prefs_0.useCity); this.parser_0 = new Parser(this.ip2Country_0); this.parser_0.ParseCustomColumns =this.prefs_0.parseCustomColumns; Statistics.int_0 = this.prefs_0.topNumber; try { if (prefs.monitorAuto) { ALV.Common.Debug.Info("Opening Logs..."); foreach (LoggerInfo loggerInfo inprefs.logsToView) { if (loggerInfo.Highlight != null) { this.method_48(loggerInfo.Highlight, true); } try { this.method_6(loggerInfo); if (Class91.bool_0) { GC.Collect(); } } catch { } } } if (Class91.list_0 != null) { foreach (string text in Class91.list_0) { try { bool flag = this.parser_0.IsErrorLog(text); this.method_4(text, !flag, false); if (Class91.bool_0) { GC.Collect(); } } catch { } } } } catch (Exception) { MessageBox.Show(Class92.smethod_241()); } if (this.prefs_0.selTab >= 0 &&this.tabControl1.TabPages.Count > this.prefs_0.selTab) { this.tabControl1.SelectedTabPageIndex = this.prefs_0.selTab; } try { if (!string.IsNullOrEmpty(this.prefs_0.Key)) { string string_ = Class2.smethod_0(this.prefs_0.Key); this.bool_0 = Class2.smethod_1(string_); } } catch (Exception) { this.bool_0 = false; } try { if(IsStoreApp.IsWindowsStoreApp) { this.bool_0 = true; this.bool_1 = true; this.method_0(); } } catch { } if (!this.bool_0)//关键处 { this.lbStatusStripNotify.Text = Class92.smethod_263() + " Apache Logs Viewer..." + Class92.smethod_66(); this.method_2(false); } else { this.lbStatusStripNotify.Text = Class92.smethod_263() + " Apache Logs Viewer"; this.method_2(true); }
在关键处上面bool_0已经被赋值为true了,但是这里被判断为非bool_0即if (this.bool_0==false)
直接干掉感叹号试试,不行再来
找对位置Ctrl+Shift+E继续编辑,干掉感叹号
OK了,高级功能解锁,可以完美使用!
抽空再汉化下就完美了
