博客

在德国大牛LCF-AT脚本的基础上，进行了改良。

将三个手工判断的参数减少成了两个，也就是最开始的两个跳转地址

第一个是跳转表中的第一个跳转对应的代码位置（没有key或者key不正确是，弹出错误窗口，F12断下，单步到栈底，单步走2补即可看到进入跳转表范围，向上找源头）

mov FirstJmpAddress,006A206B

第二个是在设置上一个断点，重新运行断下后，单步到pushad之后，向后搜索cmp ecx,eax(只会在搜到的前四个中的某一个，全部下断点后，运行，程序断住的地址)

mov CmpEcxEaxAddress,0056CECB

之后：

bphwc FirstJmpAddress

CmpEcxEaxAddressProcess:

run

cmp ecx, 1

je canrun

mov eax,0

mov ecx,0

jmp CmpEcxEaxAddressProcess //

canrun:

bphwc CmpEcxEaxAddress

说明：欺骗验证逻辑, 前强制吧ecx,eax赋0，而ecx为1的时候，表示判断证书过程结束，就可以放心执行后续逻辑了（3个软件上验证通过，不确定是否所有的都如此）