暴破SciTools Understand

IDA工具启动报错

报错提示

解决方法

IDA根目录下创建CMD如下：

1）设置自己的python环境路径
2）第二行path的倒数第二个路径是与ida同级目录下的python文件路径
3）最后一行：ida代表32位
4）最后保存为.bat文件

32位IDA启动脚本

@set path=D:\ProgramData\Anaconda3;D:\ProgramData\Anaconda3\Scripts;D:\ProgramData\Anaconda3\Library\bin;D:\ProgramData\Anaconda3\Lib;D:\ProgramData\Anaconda3\DLLs;D:\Study\Tools\IDA\python\3;%path%;
@set PYTHONPATH=D:\ProgramData\Anaconda3\Lib;D:\ProgramData\Anaconda3\DLLs;D:\ProgramData\Anaconda3\Lib\lib-tk;
@start D:\Study\Tools\IDA\ida32.exe

64位IDA启动脚本

@set path=D:\ProgramData\Anaconda3;D:\ProgramData\Anaconda3\Scripts;D:\ProgramData\Anaconda3\Library\bin;D:\ProgramData\Anaconda3\Lib;D:\ProgramData\Anaconda3\DLLs;D:\Study\Tools\IDA\python\3;%path%;
@set PYTHONPATH=D:\ProgramData\Anaconda3\Lib;D:\ProgramData\Anaconda3\DLLs;D:\ProgramData\Anaconda3\Lib\lib-tk;
@start D:\Study\Tools\IDA\ida64.exe

逆向SciTools Understand 6.2.1128

安装Understand并备份understand.exe

安装后导入understand.exe到IDA64中

强制离线验证

搜索字符串areYouThere并修改为任意字符串，使得服务器验证失败，转为离线验证。

先在HEX View搜索，Search->Text

双击字符，切换到IDA View-A，找到对应字符串

输入其他字串(长度要一样)代替，比如 IamNotHere!

上一步的便携方法如下：

Hex View搜索61 72 65 59 6F 75 54 68 65 72 65

替换为 00 00 00 00 00 00 00 00 00 00 00

强制跳过license验证

搜索字符串Offline，找到如下位置

找到对应的调用的函数位置

按下F5反编译到C

继续深入到sub_141A62870()，该函数会根据license类型来决定是否添加Offline至主窗体标题栏，该函数只有一个返回

修改此处，

强制返回为v1

上一步的便携方法如下：

Hex View搜索45 33 FF 41 0F B6 C6 48 3B DF 44 0F 4E F8,可能这一串Hex出现了两次，修改第二次出现的（搜索两次）

替换为41 BF 01 00 00 00 90 90 90 90 90 90 90 90

保存修改到文件

Edit–Patch program–Apply patches to input file

参考资料

1. IDA报错Unexpected fatal error while intitailizing Python runtime
2. [原创]暴破SciTools Understand 6.2 Build 1100