高手飘过

同学求助，他是老师，他需要设置一个打铃系统，网上搜了一个XXX打铃6.3版本，这软件也较多人喜欢。

安装，XXX.exe壳是UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo，运行查看到，显示未注册版，屏蔽周二周四计划，周二周四是必要的，那能给你屏蔽？OD加载，脱壳找到
00402580    68 AC114100     push    004111AC                         ; ASCII "VB5!6&vb6chs.dll"
00402585    E8 EEFFFFFF     call    00402578                         ; jmp 到 MSVBVM60.ThunRTMain
直接找到OEP，dump为1.exe，该软件为VB所写
运行1.exe，能正常运行，首先用C32ASM加载，unicode查看字符串，od加载1.exe，边看字符串参考边查看OD，看到“未注册版，屏蔽周二周四计划“字眼，地址指向00429101-push 41d48c
004290E0    E8 CB9E0300     call    00462FB0
004290E5    66:833D DC01470>cmp     word ptr [4701DC], 0C
004290ED    75 7B           jnz     short 0042916A                  
004290EF    8B0F            mov     ecx, dword ptr [edi]
004290F1    57              push    edi
004290F2    FF91 4C030000   call    dword ptr [ecx+34C]
004290F8    8D55 E4         lea     edx, dword ptr [ebp-1C]
004290FB    50              push    eax
004290FC    52              push    edx
004290FD    FFD6            call    esi
004290FF    8B08            mov     ecx, dword ptr [eax]
00429101    68 8CD44100     push    0041D48C
00429106    50              push    eax

向上找，找到004290ED    75 7B           jnz    short 0042916A    ，只要将jmp绕过去就不会提示未注册，标题已改，F9启动后，发觉播放列表不能出现，应是检查到软件异常或者识别到，需要再进一步拆解。查看字串，发现45AF09 push 41FE84 \系统状态：正常运行
OD同时加载原EXE和刚才jmp后的EXE，单步到该处，F8一直跟下来，发现经过处理后的EXE，
和原EXE的区别在0045AF79处的jnz是出现不同状态跳转，估计上面的CALL必是验证相关的，不想再花时间研究这个CALL，直接将0045AF79 JNZ 0045B01B，改更为0045AF79 JMP 0045B01B，修改保存。启动程序，将系统时间特地设置星期二星期四，经测试一切正常。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！