明经CAD社区

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
楼主: highflybird

[飞鸟集]去教育版讨论及源码(ARX,LISP版)

    [复制链接]
 楼主| 发表于 2019-5-9 15:09 | 显示全部楼层
mikewolf2k 发表于 2019-5-9 09:35
学习了,原来原理是木马,拷贝正常元素数据的同时,偷偷在另一个地方拷贝了个标志。
不知道能否告知详细一 ...

暴力寻找法,在某段地址一个个找,找到这个标志,就修改它,然后教育版就去掉了。对电脑来说,就相当于做几百次加减法,是一件很容易的事情。
DXF的办法我没用过,但应该会丢失DWG的一些信息,所以这种方法不完美。

点评

大师说的很对,在图形多的状况,就会出现少图元的现象,甚至图形错误  发表于 2020-6-2 00:33
回复 支持 1 反对 0

使用道具 举报

发表于 2019-5-9 15:12 | 显示全部楼层
感谢分享好程序
发表于 2019-5-9 15:28 | 显示全部楼层
highflybird 发表于 2019-5-9 15:09
暴力寻找法,在某段地址一个个找,找到这个标志,就修改它,然后教育版就去掉了。对电脑来说,就相当于做 ...

怎么知道这个是标志?
假设找到的地址,是直接修改二进制文件么?某个地址的00改着01之类的,完全不是用ACAD功能修改?
DXF方法具体没用过,dwg到dxf会有损失么?不知道。
谢谢。
发表于 2019-5-9 15:42 | 显示全部楼层
谢谢大师的分享。。。
发表于 2019-5-9 16:10 | 显示全部楼层
本帖最后由 1005100717 于 2019-5-9 16:12 编辑

自从用了net,发现还是net写起来方便,没有c++配置那么复杂我也来贡献一个net版的,2008-2019 32 64通杀
  1. Imports Autodesk.AutoCAD.ApplicationServices
  2. Imports Autodesk.AutoCAD.DatabaseServices
  3. Imports Autodesk.AutoCAD.PlottingServices
  4. Imports Autodesk.AutoCAD.EditorInput
  5. Imports Autodesk.AutoCAD.Geometry
  6. Imports Autodesk.AutoCAD.Runtime
  7. Imports Autodesk.AutoCAD.Customization
  8. Imports System.Collections.Specialized
  9. Imports System.Runtime.InteropServices

  10. Public Class cadFunc
  11.     <DllImport("kernel32.dll", CharSet:=CharSet.Auto, SetLastError:=True)> _
  12.     Public Shared Function GetModuleHandle(ByVal lpModuleName As String) As IntPtr
  13.     End Function
  14.     <DllImport("kernel32.dll", SetLastError:=True, CharSet:=CharSet.Ansi, ExactSpelling:=True)> _
  15.     Private Shared Function GetProcAddress(ByVal hModule As IntPtr, ByVal procName As String) As IntPtr
  16.     End Function
  17.     <DllImport("kernel32.dll", SetLastError:=True)> _
  18.     Public Shared Function ReadProcessMemory( _
  19.     ByVal hProcess As IntPtr, _
  20.     ByVal lpBaseAddress As IntPtr, _
  21.     <Out()> ByVal lpBuffer As Byte(), _
  22.     ByVal dwSize As Integer, _
  23.     ByRef lpNumberOfBytesRead As Integer) As Boolean
  24.     End Function
  25.     <DllImport("kernel32.dll", CharSet:=CharSet.Auto, SetLastError:=True)> _
  26.     Public Shared Function VirtualProtect(ByVal lpAddress As IntPtr, ByVal dwSize As IntPtr, ByVal flNewProtect As UInteger, ByRef lpflOldProtect As UInteger) As Boolean
  27.     End Function

  28.     Public Shared Function getAcadVersion() As Double
  29.         Return CDbl(Application.GetSystemVariable("acadver").ToString().Substring(0, 4))
  30.     End Function


  31.     Public Shared Function noEMR() As String
  32.         Dim dllName As String = "acdb" + getAcadVersion().ToString.Substring(0, 2) + ".dll"
  33.         Dim handle As IntPtr = GetModuleHandle(dllName)
  34.         If handle = 0 Then Return "找不到模块:" + dllName

  35.         Dim funcname As String
  36.         If IntPtr.Size = 4 Then
  37.             Dim bin() As Byte = {63}
  38.             funcname = System.Text.Encoding.Unicode.GetString(bin) + "isEMR@AcDbDatabase@@QBE_NXZ"
  39.         Else
  40.             Dim bin() As Byte = {63}
  41.             funcname = System.Text.Encoding.Unicode.GetString(bin) + "isEMR@AcDbDatabase@@QEBA_NXZ"
  42.         End If

  43.         Dim funcAdress As IntPtr = GetProcAddress(handle, funcname)
  44.         If funcAdress = 0 Then Return "无法找指定函数:" + funcname

  45.         '寻找关键字0x33,0x39,0x0f
  46.         Dim ptr As IntPtr
  47.         If IntPtr.Size = 4 Then
  48.             ptr = New IntPtr(funcAdress.ToInt32() + 3)
  49.         Else
  50.             ptr = New IntPtr(funcAdress.ToInt64() + 4)
  51.         End If

  52.         If Not EMRcheckFunc(ptr, 51, 2) Then Return "无法验证函数体:0x33"
  53.         Dim destPtr As IntPtr = ptr
  54.         If Not EMRcheckFunc(ptr, 57, 6) Then Return "无法验证函数体:0x39"
  55.         If Not EMRcheckFunc(ptr, 15, 2) Then Return "无法验证函数体:0x0F"

  56.         '修改内存
  57.         Dim flag As UInteger, tccc As UInteger
  58.         If Not VirtualProtect(destPtr, 100, 64, flag) Then Return "内存模式修改失败!1"
  59.         Marshal.WriteByte(destPtr, 137) '0x89
  60.         VirtualProtect(destPtr, 100, flag, tccc)
  61.         Return ""
  62.     End Function

  63.     Private Shared Function EMRcheckFunc(ByRef adress As IntPtr, ByVal val As Byte, ByVal len As Integer) As Boolean
  64.         '检查是否时跳转,跳转符号 E9
  65.         If Marshal.ReadByte(adress) = 233 Then
  66.             If IntPtr.Size = 4 Then
  67.                 Dim pass As Integer = Marshal.ReadInt32(New IntPtr(adress.ToInt32() + 1))
  68.                 adress = New IntPtr(adress.ToInt32() + pass + 5)
  69.             Else
  70.                 Dim pass As Integer = Marshal.ReadInt32(New IntPtr(adress.ToInt64() + 1))
  71.                 adress = New IntPtr(adress.ToInt64() + pass + 5)
  72.             End If
  73.         End If

  74.         '检查是否为指定值,如果不是返回0
  75.         If Marshal.ReadByte(adress) = val Then
  76.             If IntPtr.Size = 4 Then
  77.                 adress = New IntPtr(adress.ToInt32() + len)
  78.             Else
  79.                 adress = New IntPtr(adress.ToInt64() + len)
  80.             End If
  81.             Return True
  82.         Else
  83.             Return False
  84.         End If
  85.     End Function
  86. End Class


点评

大佬搞个2020版本的去教育版填补下空缺  发表于 2021-6-23 13:03
NET不懂。。能否编译成dll用用。。。  发表于 2019-5-15 10:08

评分

参与人数 1明经币 +1 金钱 +30 收起 理由
highflybird + 1 + 30 赞一个!

查看全部评分

回复 支持 4 反对 0

使用道具 举报

 楼主| 发表于 2019-5-9 16:34 | 显示全部楼层
mikewolf2k 发表于 2019-5-9 15:28
怎么知道这个是标志?
假设找到的地址,是直接修改二进制文件么?某个地址的00改着01之类的,完全不是用 ...

ARX有个函数可以判断,你看看代码,isEMR
发表于 2019-5-9 16:50 | 显示全部楼层
highflybird 发表于 2019-5-9 16:34
ARX有个函数可以判断,你看看代码,isEMR

惭愧,不会ARX,只会VBA。
只能通过ARX函数判断,没有其它方法?那我就只能放弃了。谢谢。
 楼主| 发表于 2019-5-9 16:56 | 显示全部楼层
mikewolf2k 发表于 2019-5-9 16:50
惭愧,不会ARX,只会VBA。
只能通过ARX函数判断,没有其它方法?那我就只能放弃了。谢谢。

16楼的代码你可以参考一下,可以用VBA的方式做到
发表于 2019-5-9 17:11 | 显示全部楼层
highflybird 发表于 2019-5-9 16:56
16楼的代码你可以参考一下,可以用VBA的方式做到

懒得去钻研了,我也用不着这个功能,就不花太多精力去钻研这个了。谢谢!
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|CAD论坛|CAD教程|CAD下载|联系我们|关于明经|明经通道 ( 粤ICP备05003914号 )  
©2000-2023 明经通道 版权所有 本站代码,在未取得本站及作者授权的情况下,不得用于商业用途

GMT+8, 2024-3-29 22:37 , Processed in 0.191465 second(s), 18 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表