分享过程与分析思路，仅供学习研究，禁止商业使用以及用于违法用途。

---

前言：逆向是我个人的老本行了，当初也建立过逆向论坛，各种因素结合之下最后也是不了了之，目前论坛新人入坑的挺多，仅为抛砖引玉。
tdx程序框架是典型的商软框架，加壳也仅仅是防止篡改，无壳SDK，比较简单，算是传统逆向的基础，所以弄这类软件，也不需要太多的技术，只需要基本功扎实即可。

---

主程序：ZYB_7601
工具：x64dbg

原始效果图：

思路：从原始图上看能有几种思路
1.字符串入手：搜索”没有此功能权限”。
2.大数据组件入手：既然是大数据必然用到大数组bigdata组件，需要一定的基础，难度较为普通。
3.Api入手：从DrawText之类的API入手，需要条件断点或者配合插件，难度较高，有兴趣可自行研究。


具体实现：
目前选用的是第1种方法，最简单的，字符串搜索，那么先从主程序搜索看，很明显没有我们想要的结果，那么目前有多种情况，
1.字符串被加密了，所以搜索不到。
2.字符串不在主程序内，我们搜索的地方错误。
第一种情况我们比较难搞，所以我们先试试第二种，而对于第二种有多种办法，可以用CE搜索，可以全局内存搜索，或者其他批量文件搜索

两种结果显示，有一定基础的已经知道了怎么做了，可跳过，那么如果不知道情况呢，就对字符串地址或是字符串读取下读取断点。

然后，我们点击大数据组件（需要点击功能触发"无权限"然后触发断点），然后回断点在系统DLL（Msvcrt100.dll）中断下，然后我们ctrl+F9执行到返回用户程序代码，一直返回到我们熟悉的代码界面：

到这里已经很明显了，上面的跳转改了即可实现权限功能，但此时是在tdxzdview100.dll里面，但个人不想修改这个DLL，只想修改主程序，那么怎么办，从汇编代码中可以发现，跳转来源于

1. movsx edx,byte ptr ss:[ebp-0x60]；这一行
   
2. test edx,edx
   
3. jne 0x27DB2400

复制代码

这个ebp-0x60我们往上看代码，会发现

地址是从步骤1初始化，在步骤2修改，然后从新在区域1中下断点，看是什么地方访问这个逻辑对比值。
我们从上图发现，[ebp-0x70]是初始值地址，[ebp-0x60]是对比逻辑值地址，相差10的偏移值，这里[ebp-0x70]是一个结构体，需要点经验和稍微有点基础才能想明白，现在不明白没关系，后续玩多了就理解了。

回到主题，随后就是在区域1中下断点，重新点击大数据组件触发断点。

1. lea ecx,dword ptr ss:[ebp-0x70]
   
2. push ecx
   
3. push 0x7A
   
4. push 0xFFFFFFFF
   
5. push 0x0
   
6. call dword ptr ds:[0x28A71694]   //;从这里进去，找出修改逻辑值的地方

复制代码

进去后我们会发现，回倒tdx主程序内了，这就好办了（这里是个回调，有兴趣的可以研究第二种方法就能发现）。

这里就是刚刚我说的结构体偏移+10的地方，而我目前的地址，修改0054FE8A为两个NOP即可完成权限校验。
这里的代码明显还是有对比值的逻辑，如果我们还不想修改这里，那么怎么办呢，很简单，控制这个逻辑的地方在于

1. cmp dword ptr ds:[0x014D4FF4], 0x0
   
2. 这一行代码中的0x014D4FF4这个全局变量

复制代码

我们只需要对着这行，右键查找引用，并且找出赋值的地方即可。

最后我们发现，是在这里赋值这个权限。

那么剩下的就很简单了，修改代码，修改方法有很多，只是示例：

最终效果图：

---

目前总结下来一共有3种修改方式，看大家喜欢哪种爱好，任君选择了。
逆向跟股票都是一回事，大胆猜测小心求证。

---

另外：目前只打算一贴，不要回复要求这功能那功能的，得了渔，理解了什么都是一通百通。
更别说JY啥的敏感词，tdx商软不难，难的是如何免收律师函，伸手党和得寸进尺的人更是希望您能省下力气，不要回复本贴。
新手教程，老师们海涵。

相关标签： 数据分析入门, 大数据分析应用案例, 数据可视化分析报告, 数据分析的五个步骤

版权声明：该帖版权归原文作者所有，仅代表该作者观点，如有侵权，请点击此处查看处理方式。