记逆向小白的第一次vbsedit 9爆破及内存补丁制作

作为一个搞破解、逆向的小白，第一发文，请各位大神多指教。

近期需要批量处理一些word和excel文档，开始一直用word的宏，但是发给同事用的时候同事老是不会啊。后来就想写一些VBS的脚本，让他们直接双击运行就好了。可是写VBS脚本也需要调试的呀，没有合适的工具很恼火的。于是上网找到了VBSEdit这么个工具，可是非注册版每次调试都会弹出一个提示框，等好多秒，找破解版要么版本太老，要么就是夹带私货的。于是就想自己动手试一下好了。

下载了x64dbg，启动，打开vbsedit.exe。点击Start Debugging 的按钮，弹出了注册对话框。

有点懵。不知从何入手。于是就各种搜啊搜啊，最后决定从找对话框开始，搜索跨模块调用，输入“dialog”，出现了五个相关的调用：

于是在第一项处下断点，重新跟到这里后发现是从1401087B4这一行运行来的，于是在这一行下断点。

再次跟进来，停下后在右下角的栈区会看到对这个的调用来自vbsedit.00000000140107C8E，再转到这个调用点。

然后在从这个调用点往后追溯，就这样追溯几次调用后就会找到一个貌似调用注册对话的地方：

就这个Call <vbsedit.#所有对话框>调用（当然后面的注释都是我跟的时候自己加的），先试试NOP掉它。

再次运行，注册对话框不弹了。再试了试其他功能，一切正常。成功！

同样的方法，可以把单步调试等弹注册对话框的地方都找到，同样nop掉。启动的注册对话框有一个JNE的判断，改成JE就好了。

然后就是修补文件，另存了exe。再次运行打了补丁的文件，结果一闪而过，程序运行不了啦。

原来这程序有自校验，一个字节都不能改，改了就不能正常运行。要么是没法正常退出，要么是没有语法高亮，总之各种不正常。

怎么办呢?继续破自校验? 算了，对我这个小白来说这个难度有点太大了。

考虑到用x64dbg打开直接在内存修改后可以正常运行，应该说找的爆破位置还是对的，所以如果打个内存补丁应该是可行的。

内存补丁怎么弄呢？没整过耶，于是又是搜啊搜啊，找到了用Dll劫持注入打补丁的方法。

试了试常用的version.dll，发现这个dll是可以利用的。接下来就是需要自己写一个version.dll用来劫持并打内存补丁啦。

祭出了AheadLib这个工具，选择简单的直接转发函数，生成了version.cpp。

然后在入口函数里加上自己打补丁的代码就好了，代码如下：（小白水平，勿喷）

#include <Windows.h>
#include <stdio.h>

// 导出函数
#pragma comment(linker, "/EXPORT:GetFileVersionInfoA=c:\\windows\\system32\\version.dll.GetFileVersionInfoA,@1")
#pragma comment(linker, "/EXPORT:GetFileVersionInfoByHandle=c:\\windows\\system32\\version.dll.GetFileVersionInfoByHandle,@2")
#pragma comment(linker, "/EXPORT:GetFileVersionInfoExA=c:\\windows\\system32\\version.dll.GetFileVersionInfoExA,@3")
#pragma comment(linker, "/EXPORT:GetFileVersionInfoExW=c:\\windows\\system32\\version.dll.GetFileVersionInfoExW,@4")
#pragma comment(linker, "/EXPORT:GetFileVersionInfoSizeA=c:\\windows\\system32\\version.dll.GetFileVersionInfoSizeA,@5")
#pragma comment(linker, "/EXPORT:GetFileVersionInfoSizeExA=c:\\windows\\system32\\version.dll.GetFileVersionInfoSizeExA,@6")
#pragma comment(linker, "/EXPORT:GetFileVersionInfoSizeExW=c:\\windows\\system32\\version.dll.GetFileVersionInfoSizeExW,@7")
#pragma comment(linker, "/EXPORT:GetFileVersionInfoSizeW=c:\\windows\\system32\\version.dll.GetFileVersionInfoSizeW,@8")
#pragma comment(linker, "/EXPORT:GetFileVersionInfoW=c:\\windows\\system32\\version.dll.GetFileVersionInfoW,@9")
#pragma comment(linker, "/EXPORT:VerFindFileA=c:\\windows\\system32\\version.dll.VerFindFileA,@10")
#pragma comment(linker, "/EXPORT:VerFindFileW=c:\\windows\\system32\\version.dll.VerFindFileW,@11")
#pragma comment(linker, "/EXPORT:VerInstallFileA=c:\\windows\\system32\\version.dll.VerInstallFileA,@12")
#pragma comment(linker, "/EXPORT:VerInstallFileW=c:\\windows\\system32\\version.dll.VerInstallFileW,@13")
#pragma comment(linker, "/EXPORT:VerLanguageNameA=c:\\windows\\system32\\version.dll.VerLanguageNameA,@14")
#pragma comment(linker, "/EXPORT:VerLanguageNameW=c:\\windows\\system32\\version.dll.VerLanguageNameW,@15")
#pragma comment(linker, "/EXPORT:VerQueryValueA=c:\\windows\\system32\\version.dll.VerQueryValueA,@16")
#pragma comment(linker, "/EXPORT:VerQueryValueW=c:\\windows\\system32\\version.dll.VerQueryValueW,@17")


//宏 Debug("format string",arg1,arg2,...)
//用于Debug调试信息输出，用法同 printf
#ifdef _DEBUG
#define Debug(...) DllPrintf(__VA_ARGS__) 
#else
#define Debug(...) 
#endif

int DllPrintf(char *fmt,...)
{
	//dll调试时打开控制台窗口显示调试信息
	//用法同printf

	va_list argptr;
	va_start(argptr,fmt);
	char buffer[512] ={0};
	int cnt = vsprintf_s(buffer,fmt,argptr);
	va_end(argptr);

	static HANDLE ghConsole = INVALID_HANDLE_VALUE;
	if(INVALID_HANDLE_VALUE == ghConsole)
	{
		AllocConsole();
		ghConsole = GetStdHandle(STD_OUTPUT_HANDLE);
	}
	DWORD dw;
	WriteConsole(ghConsole ,buffer,(DWORD)strlen(buffer),&dw,NULL);
	return cnt;
}

void Patch(void)
{
	DWORD dwProcessId;
	dwProcessId = GetCurrentProcessId();

	HANDLE hProcess;
	hProcess = OpenProcess(PROCESS_ALL_ACCESS,false,dwProcessId);
	if(hProcess == 0){
		Debug("open process error \n");
	}else
	{
		Debug("the hProcess is : %x\n",(INT)hProcess);
	}

	LPVOID lpAddressStart,lpAddressDebug,lpAddressDebugStep;

	lpAddressStart=(LPVOID)0x000000014009147F;//启动注册框的爆破地址
	lpAddressDebug=(LPVOID)0x00000001400E3ED7;//debug对话框的爆破地址
	lpAddressDebugStep=(LPVOID)0x00000001400DA343;//debug step over对话框的爆破地址

	char je=0x74;//je指令
	SIZE_T dwNumberOfBytesRead;
	dwNumberOfBytesRead=0;

	if(WriteProcessMemory(hProcess,lpAddressStart,&je,sizeof(je),&dwNumberOfBytesRead))
	{
		Debug("%d byte writed,start dialog patch ok!\n ",dwNumberOfBytesRead);
	}else
	{
		Debug("read error:%d \n", GetLastError());

	}


	unsigned char temp[5]={0x90,0x90,0x90,0x90,0x90};

	if(WriteProcessMemory(hProcess,lpAddressDebug,&temp,sizeof(temp),&dwNumberOfBytesRead))
	{
		Debug("%d byte writed,debug dialog patch ok!",dwNumberOfBytesRead);
	}else
	{
		Debug("read error:%d \n", GetLastError());

	}


	if(WriteProcessMemory(hProcess,lpAddressDebugStep,&temp,sizeof(temp),&dwNumberOfBytesRead))
	{
		Debug("%d byte writed,debug step over dialog patch ok!",dwNumberOfBytesRead);
	}else
	{
		Debug("read error:%d \n", GetLastError());

	}

	CloseHandle(hProcess);
}

// 入口函数
BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, PVOID pvReserved)
{
	if (dwReason == DLL_PROCESS_ATTACH)
	{
		DisableThreadLibraryCalls(hModule);

		Patch();

	}
	else if (dwReason == DLL_PROCESS_DETACH)
	{
	}

	return TRUE;
}

代码很简单，有个地方我犯过错误，这里记录一下：

导出函数的#pragma comment(linker, "/EXPORT:GetFileVersionInfoA=c:\\windows\\system32\\version.dll.GetFileVersionInfoA,@1") 其中 c:\\windows\\system32\\version.dll这个地方，这是用于64位程序的，所以是这个路径。也可以写成改名后的dll文件名，比如你把原version.dll文件改成了oldversion.dll，那么就写成#pragma comment(linker, "/EXPORT:GetFileVersionInfoA=oldversion.dll.GetFileVersionInfoA,@1") 就可以了。不过这样你需要把oldversion.dll 同样拷贝到vbsedit.exe的同目录。如果是我的写法就只需要把生成的version.dll拷贝到vbsedit.exe程序目录就行了。

另外dll在控制台输出调试信息的方法我也是找了好久，开始一直用MessageBox，很痛苦的。

爆破地址只能适用于vbsedit 9.1226版本。

生成的version.dll拷贝到VBSEdit.exe的同目录即可。

再次运行，这次没有了注册提示框。打开几个vbs文件，试了试编辑、调试等功能，测试一切正常，成功！

总结：破解逆向好像也没那么难，呵呵！ 我也行 ^_^