戏说Beyond Compare 4的注册

  • A+
所属分类:安全闲碎

戏说Beyond Compare 4的注册

标题: 戏说Beyond Compare 4的注册

创建: 2020-10-27 21:31
更新:
链接: http://scz.617.cn:8/misc/202010272131.txt

前阵子旧电脑硬件到期,换新电脑,OS从Win7升到Win10。是的,在Win7停止技术支持之后,我又坚持了一些日子。我是一个极度怀旧的人,从OS到绝大多数软件,能用就一直用,能不升级就不升级,这其中包括Beyond Compare。这次已然重装系统,某些软件顺便升到新版。

BC官网直接提供新版安装包下载:

Beyond Compare 4.3.7.25118
http://www.scootersoftware.com/download.php
http://www.scootersoftware.com/BCompare-4.3.7.25118.exe
http://www.scootersoftware.com/BCompare-zh-4.3.7.25118.exe
http://www.scootersoftware.com/BCompareSetup-4.3.7.25118.zip
http://www.scootersoftware.com/BCompare-4.3.7.25118_x64.msi
http://www.scootersoftware.com/BCompare-4.3.7.25118_x86.msi

其中BCompareSetup-4.3.7.25118.zip解压后实际就是BCompare-4.3.7.25118.exe,虽然文件名不是后者,SHA1是一样的。看官网说明,这是防止某些浏览器阻止下载exe而提供的zip。

安装时可以指定绿色安装,此时不写注册表,所有文件都"All In One"到一个目录下,这是官方功能,不需要Hacking。我就不喜欢在资源管理器右键菜单中瞎添项目,也不喜欢关联扩展名。

ZWT在2014.12.26发布过4.0.2.19186版的keygen,当时给的校验信息是:

MD5(keygen.exe) = a68668def8c79001e03dcfeaad6bdb13

它的工作原理是先patch n,再生成注册信息。这个keygen仍然适用于4.3.7.25118版。

有人提供再封装的单个exe来用BC,另有人提供所谓绿色版BC,而你可能更想要前面那个keygen,并不想要其他二次分发的内容,毕竟官网可以无障碍下载新版安装包。

若有企业版VT帐号,可从VT下载ZWT的keygen.exe:

https://www.virustotal.com/gui/file/2d6f531591fed141199017a76929b0f1b44343d510d6087f63f07acd57528ecf/detection

若无企业版VT帐号,可从MEGA下载ZWT的keygen.exe:

keygen_from_zwt.7z
https://mega.nz/file/RYIiXL5B#f5C6IZ85gBuMgyYfM8cVHHazPm70LpSXsumHzqpD4jM

解压密码就是文件名(keygen_from_zwt.7z),这只是防止被沿线网络设备误杀。

VT检测表明有31/71的杀毒引擎报警,但卡巴斯基认为安全。保险起见,在虚拟机中
执行它。

keygen会修改BCompare.exe,原文件备份成BCompare.exe.Backup。

fc /b BCompare.exe.Backup BCompare.exe > patch.txt

用WinHex打开old、new,照着patch.txt定位过去,即可看出patch前后的差别:

++11IE:keexjEP3t4Mue23hrnuPtY4TdcsqNiJL-5174TsUdLmJSIXKfG2NGPwBL6vnRPddT7t
H29qpkneX63DO9ECSPE9rzY1zhThHERg8lHM9IBFT+rVuiY823aQJuqzxCKIE1bcDqM4wgW01F
H6oCBP1G4ub01xmb4BGSUG6ZrjxWHJyNLyIlGvOhoY2HAYzEtzYGwxFZn2JZ66o4RONkXjX0DF
9EzsdUef3UAS+JQ+fCYReLawdjEe6tXCv88GKaaPKWxCeaUL9PejICQgRQOLGOZtZQkLgAelrO
tehxz5ANOOqCaJgy2mJLQVLM5SJ9Dli909c5ybvEhVmIC0dc9dWH+

++11IE:N9KmiLVlKMU7RJqnE+WXEEPI1SgglmfmLc1yVH7dqBb9ehOoKG9UE+HAE1YvH1XX2XV
GeEqYUY-Tsk7YBTz0WpSpoYyPgx6Iki5KLtQ5G-aKP9eysnkuOAkrvHU8bLbGtZteGwJarev03
PhfCioJL4OSqsmQGEvDbHFEbNl1qJtdwEriR+VNZts9vNNLk7UGfeNwIiqpxjk4Mn09nmSd8Fh
M4ifvcaIbNCRoMPGl6KU12iseSe+w+1kFsLhX+OhQM8WXcWV10cGqBzQE9OqOLUcg9n0krrR3K
rohstS9smTwEx9olyLYppvC0p5i7dAx2deWvM1ZxKNs0BvcXGukR+

第一行是old的,第二行是new的。

用IDA反编译BCompare.exe,可以看出这是个字符串。起初我以为n以16进制字节流的形式保存在exe中,看上去做了些其他变换,反正不是标准BASE64,出现减号。假设这就是某种变换后的n,在处理n的函数中还看到几个序列号:

7979-0566
5870-5721
2197-5912
4327-6086
6557-5224
1822-9597
7033-0439
9303-4433

难道是某些早期被拉黑的序列号?由于ZWT的keygen仍在工作,没兴趣深究BC的注册算法。

bluerust提到几个链接:

Beyond Compare 4 license for Windows Mac Linux
https://gist.github.com/rise-worlds/5a5917780663aada8028f96b15057a67
https://gist.github.com/satish-setty/04e1058d3043f4d10e2d52feebe135e8

Crack Beyond Compare for linux
https://my.oschina.net/sfshine/blog/1829595

这些链接都用到同一条命令:

sed -i "s/keexjEP3t4Mue23hrnuPtY4TdcsqNiJL-5174TsUdLmJSIXKfG2NGPwBL6vnRPddT7tH29qpkneX63DO9ECSPE9rzY1zhThHERg8lHM9IBFT+rVuiY823aQJuqzxCKIE1bcDqM4wgW01FH6oCBP1G4ub01xmb4BGSUG6ZrjxWHJyNLyIlGvOhoY2HAYzEtzYGwxFZn2JZ66o4RONkXjX0DF9EzsdUef3UAS+JQ+fCYReLawdjEe6tXCv88GKaaPKWxCeaUL9PejICQgRQOLGOZtZQkLgAelrOtehxz5ANOOqCaJgy2mJLQVLM5SJ9Dli909c5ybvEhVmIC0dc9dWH+/N9KmiLVlKMU7RJqnE+WXEEPI1SgglmfmLc1yVH7dqBb9ehOoKG9UE+HAE1YvH1XX2XVGeEqYUY-Tsk7YBTz0WpSpoYyPgx6Iki5KLtQ5G-aKP9eysnkuOAkrvHU8bLbGtZteGwJarev03PhfCioJL4OSqsmQGEvDbHFEbNl1qJtdwEriR+VNZts9vNNLk7UGfeNwIiqpxjk4Mn09nmSd8FhM4ifvcaIbNCRoMPGl6KU12iseSe+w+1kFsLhX+OhQM8WXcWV10cGqBzQE9OqOLUcg9n0krrR3KrohstS9smTwEx9olyLYppvC0p5i7dAx2deWvM1ZxKNs0BvcXGukR+/g" BCompare

这实际就是patch n。不知道ZWT当初是否提供过Linux版keygen,就算没有,也可以用Windows版keygen对Linux版BCompare进行patch,无非就是搜索特征字节流,命中后替换之。

外界提供的现成KEY实际都缘自ZWT的keygen,有些强刷存在感的,会把KEY中的"Licensed to"由默认的"Team ZWT"改成自己的ID。

虽然ZWT的keygen本身是PE文件,只能在Windows上运行,但keygen可以指定BC所在OS类型进而生成相应的KEY。

最佳实践是准备好ZWT的keygen,从官网下载最新版安装包,自己进行官方支持的绿色安装;安装结束后先不要执行BC,立即动用wf.msc阻止BCompare.exe联网,再用keygen注册。尽管wf.msc已经阻止BC联网,仍可显式关闭自动升级:

Tools
  Options
    Tweaks
      Check for Updates

最后,我有个深深的疑问,为什么有些人不提供ZWT的keygen,238K,反而占着空间、耗着带宽对官方安装包进行莫明其妙的二次分发?


本文始发于微信公众号(青衣十三楼飞花堂):戏说Beyond Compare 4的注册

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: