标题: bluerust的Source Insight 4破解方案

Source Insight 4.0.0080
https://s3-us-west-2.amazonaws.com/assets.sourceinsight.com/download/v4/release/sourceinsight4080-setup.exe

$ fc.exe /b sourceinsight4.old sourceinsight4.new

00000150: 48 67
00000151: 5C F3
00106F70: 81 B8
00106F71: EC C8
00106F72: 18 00
00106F73: 08 00
00106F75: 00 C3

C:\ProgramData\Source Insight\4.0\si4.lic

<SourceInsightLicense>
    <LicenseProperties
        LicensedUser="anything"
        ActId="anything"
        HWID="anything"
        Serial="S4SV-XGXX-XXXX-GQN3"
        Organization="anything"
        Email="anything"
        Type="Standard"
        Version="4"
        MinorVersion="0"
        Date="2017-01-30"
    />
    <Signature
        Value="anything"
    />
</SourceInsightLicense>

--------------------------------------------------------------------------

Source Insight 4.0.0082
https://s3-us-west-2.amazonaws.com/assets.sourceinsight.com/download/v4/release/sourceinsight4082-setup.exe

$ fc.exe /b sourceinsight4.old sourceinsight4.exe

00000158: 15 C7
00000159: 9E 98
00108104: 05 B8
00108105: CE C8
00108106: 01 00

si4.lic同上

--------------------------------------------------------------------------

看雪上有Patch Public Key的破解方案。我之所以用bluerust的方案，主要是万一有
坑，可以放肆地辱骂他而不用担心枭首，并获取无限期技术支持。如果用看雪上发的
那个，就不好意思胡咧咧了。

我看了他的IDB文件以及生成Serial结尾校验码的源代码，将他那些零乱的牙膏装回
一个TXT还给了他，然后给了一个前述最简描述，但行好事、莫问出处。

我问他，怎么想起自己剁一下？他说6年前剁过一次3.5，当时那个非常简单，所以4
诈尸之后，他就顺手剁之，发现有变化。我掐指一算，不对啊，3.5在6年前已经有
ROR的注册机了，不需要自己剁。他说:

》这个啊，我知道有，出于好奇嘛...或者说想把这些玩意掌握在自己手上
》哪天没人送梯子的时候，还能自己折腾一下丰衣足食

这个回答就是我说过无数次的，永远好奇的心！

不过呢，某些时候我不是喜欢造轮子的人，事实上懒惰是人类进步的原动力之一。考
虑到正常情况下bluerust会死在我后头，所以，让活着的去干事就可以了。

2017-02-22

听说别人的一破解方案，大致意思是修改导入表中负责校验签名的函数名，原函数返
回值类型是布尔值，有若干形参，找另一个函数，与之拥有相同数量的形参，返回值
类型不是布尔值，用后者的函数名替换前者。一般情况下，后者得到一些乱七八糟的
参数，会返回相应的错误码，大概率非零，按布尔值理解就是真值。

这种破解方案的好处是容易定位修改点，只需要搜索字符串并替换之，注意是ASCIZ
串，结尾有NUL字符。如果手头有CFF Explorer之类的工具，这个操作更加容易完成。

typedef struct _IMAGE_IMPORT_BY_NAME
{
    WORD    Hint;
    BYTE    Name[1];
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

上述结构中的Hint字段并未被PE加载代码使用，所以不需要修正Hint，只需要修改
Name[]成员。

原来负责校验签名的函数是:

advapi32.dll!CryptVerifySignatureW

BOOL WINAPI CryptVerifySignature
(
    _In_            HCRYPTHASH  hHash,
    _In_            BYTE       *pbSignature,
    _In_            DWORD       dwSigLen,
    _In_            HCRYPTKEY   hPubKey,
    _In_            LPCTSTR     sDescription,
    _In_            DWORD       dwFlags
);

现在改成:

advapi32.dll!RegSetValueExW

LONG WINAPI RegSetValueEx
(
    _In_            HKEY        hKey,
    _In_opt_        LPCTSTR     lpValueName,
    _Reserved_      DWORD       Reserved,
    _In_            DWORD       dwType,
    _In_      const BYTE       *lpData,
    _In_            DWORD       cbData
);

Source Insight 4.0.0082

$ fc.exe /b sourceinsight4.old sourceinsight4.exe

00000158: 15 84
00000159: 9E 71
00206F98: 43 52
00206F99: 72 65
00206F9A: 79 67
00206F9B: 70 53
00206F9C: 74 65
00206F9D: 56 74
00206F9E: 65 56
00206F9F: 72 61
00206FA0: 69 6C
00206FA1: 66 75
00206FA2: 79 65
00206FA3: 53 45
00206FA4: 69 78
00206FA5: 67 57
00206FA6: 6E 00

C:\ProgramData\Source Insight\4.0\si4.lic

--------------------------------------------------------------------------
<SourceInsightLicense>
    <LicenseProperties
        LicensedUser="*"
        ActId=""
        HWID=""
        Serial="S4SR-RRRR-RRRR-C6YW"
        Version="4"
        Date="2017-01-30"
    />
    <Signature
        Value=""
    />
</SourceInsightLicense>
--------------------------------------------------------------------------