MagicEXIF 元数据编辑器是一个专业级照片元数据查看和编辑软件,可以快速读取、修改和恢复多种图像格式中的EXIF、GPS、XMP、厂商注释等元数据,是摄影发烧友、图像爱好者、新闻记者、互联网从业人员等编辑照片属性的得力助手。
首先查一下壳,可以看到是VB编写的
然后打开程序试用一下正版功能会提示什么
这里我测试的是 原图重构,可以看到当重构完了之后,软件会提示你不是旗舰版,最后会自动添加水印
这个时候我们下VB的消息框断点,BP rtcMsgBox
然后再重复一次操作,这个时候消息框已经断下来了
然后在OD里面找到 调试-执行到用户代码(Alt+F9)
然后回到软件界面,在消息框那里点确定,回到OD界面
我们往上查看代码
经过分析,我们知道是这个跳转决定提不提示消息框,但是我们不是直接改这里,因为决定JE是否跳转的值是ax
我们可以看到上面有个CALL,分析后发现所有功能验证都会调用这个CALL
所以我们进上面的CALL里找到更改ax的代码
经过分析,我们找到了最后更改ax值的代码
我们直接给ax赋值为1
为什么改1呢
因为
movsx ecx,ax
test ecx,ecx
其实比较的就是ax的值
而test可以当成AND指令,只不过不修改操作数
然后呢影响je跳转的是zf标志位
当运算结果为0的时候zf置1 否则为0
所以我们把ax赋值为1
就是 1 and 1 结果还是为1
这样je就不会跳转了
到这里功能验证已经结束了(感觉有点啰嗦,各位大佬勿怪,嘤嘤嘤)
接着我们再看这里
[Asm] 纯文本查看 复制代码
005C7905 . 66:813D 2C506>cmp word ptr ds:[0x62502C],0x87005C790E . 0F84 D5000000 je MagicEXI.005C79E9005C7914 . 66:813D 2C506>cmp word ptr ds:[0x62502C],0xD7005C791D . 0F84 C6000000 je MagicEXI.005C79E9005C7923 > C745 FC 0C010>mov dword ptr ss:[ebp-0x4],0x10C005C792A . C785 34FFFFFF>mov dword ptr ss:[ebp-0xCC],0x80020004005C7934 . C785 2CFFFFFF>mov dword ptr ss:[ebp-0xD4],0xA005C793E . C785 44FFFFFF>mov dword ptr ss:[ebp-0xBC],0x80020004005C7948 . C785 3CFFFFFF>mov dword ptr ss:[ebp-0xC4],0xA005C7952 . C785 C0FEFFFF>mov dword ptr ss:[ebp-0x140],MagicEXI.00>; 注意005C795C . C785 B8FEFFFF>mov dword ptr ss:[ebp-0x148],0x8005C7966 . 8D95 B8FEFFFF lea edx,dword ptr ss:[ebp-0x148]005C796C . 8D8D 4CFFFFFF lea ecx,dword ptr ss:[ebp-0xB4]005C7972 . FF15 BC134000 call dword ptr ds:[<&MSVBVM60.__vbaVarDu>; MSVBVM60.__vbaVarDup005C7978 . C785 D0FEFFFF>mov dword ptr ss:[ebp-0x130],MagicEXI.00>; 非旗舰版用户所制作的图像将带有 MagicEXIF 水印,请升级到旗舰版以移除水印并恢复到图像的原始亮度!
我们会发现程序版本是根据0x62502C这个常量来比较的
所以我们复制这个地址 右键 – 查找 – 所有常量
把所有更改0x62502C的指令下段
然后Ctrl+F2重新载入程序,F9运行
经过分析,我们发现最后更改0x62502C的位置是这里
然后我们根据之前的版本比较可以发现0X87代表的是旗舰版,0xD7代表的是专业版(旗舰版是拥有全部功能的)
所以我们在这里把常量的值改为0x87
然后我们运行程序,大功告成!
原程序下载地址:http://www.magicexif.cc/mirror/magicexif_setup_zh-CN.zip