WPS清理大师 破解vip

无所事事逛吾爱破解的时候,发现了一位大佬发的文章

https://www.52pojie.cn/forum.php?mod=viewthread&tid=2106496&extra=&page=1

妙哉妙哉,看得我激情澎湃,所以来复现了,正好我的C盘也要清理了。

0x00 准备工作

wps里面是内置有wps清理大师工具的,在应用市场里面进行搜索,可以点击即用。

image-20260508150749442

但是一键清理是需要VIP的。

image-20260508151005699

本着能不掏钱就不掏的理念,开始这个破解之路。

逆向分析需要找到它的exe文件,我们在打开这个工具后,使用快捷键 Ctrl + Shift + Esc 去打开任务管理器。

在任务管理器的进程里面搜索WPS 找到wps清理大师,右键打开文件所在位置。

PixPin_2026-05-08_15-12-45

然后就拿到exe文件了

image-20260508152156731

0x01 逆向分析

使用DIE工具去查壳

image-20260508152547419

这个并没有加壳,那就需要去找到关键点。

WPS清理大师这个工具是可以先不登陆,直接去点击扫描的按钮的。

个人猜测:扫描之后,想要清理要点击一键清理的按钮,这时就会判断你是否登录,弹出扫码登录窗口,如果登录后,应该还会判断你是否是VIP,如果不是会弹出充值VIP的窗口。

使用x32dbg去动态调试。

先搜索字符串,猜测有vip这类字眼,打上断点。

image-20260508173541516

然后运行起来,经过多次调试

一开始运行到 00F41763 处 是弹出这个界面,需要点击开始扫描才会继续执行

image-20260508194808447

点击后发现断到了 00F92489 这个地方。按F9就会进行扫描文件。

然后点击一键清理,又断到了00F92489 这个地方。这说明所有的清理按钮都会经过 0x00F92489 这个地方。

多次调试后 运行到 00F77E6F ,F7 步入函数,ctrl+F9 运行到函数结束会弹出微信扫码登录的弹窗,说明这个函数00F77E6F call kscmain.FBFFD0 作用就是弹出登录窗口。记上注释。那么说明前面cmp 指令和 jne 指令就是条件跳转了,可以去修改标志位的值 将 ZF 的值 从1 改成 0 来避免弹出登录窗口。

image-20260508190423426

按G可以查看此时的视图

image-20260508200607630

这就说明了如果弹出了登录弹窗后就会直接跳到本次清理的结束,会把判断vip条件跳转给跳过。然后就再次回到了需要点击一键清理的界面了。合理的,检测到没登录就不用看是否是VIP了(

同样的 将ZF的值从1改成0 就行了

image-20260508201535990

如果不改的话,接着运行就会弹出下面的弹窗

image-20260508192931803

接着F9就能完成清理了。

image-20260508201727742

清理过后会有是否继续清理的界面,点击继续清理,就再次断到00F92489 这个地方。

视图:

image-20260508211542346

0x02 打补丁

image-20260508205645044

按空格键去修改汇编代码,将这两个jne都改成je就行了。

修改完毕确认无误后,按下快捷键 **Ctrl + P**,或者在顶部菜单栏依次选择 **文件 (File) -> 补丁 (Patch)**。

此时会弹出一个“补丁”窗口,列表中会显示刚才所做的所有指令修改记录。

点击窗口右下方的 “修补文件” (Patch File) 按钮。

在弹出的保存对话框中,选择保存路径并输入新的文件名(强烈建议另存为一个新的 .exe.dll 文件,不要直接覆盖原始文件,以便保留备份)。

点击保存就OK了。

image-20260508210018856

打完补丁后,在原来的文件夹下直接运行我们的补丁程序就可以了

image-20260508210619658

结果是这样的

image-20260508210707082

0x03 后记

我发现如果从wps里面打开wpsC盘清理大师默认是打开原版的,但是如果那个文件夹里面只保留补丁版本的,就没有办法从wps里面打开,是没反应的。but依旧可以双击点开运行……

我猜测应该是wps整体的会有检测,肯能会看md5值或CRC校验这类的吧(猜测而已)

image-20260508212156603

还是建议patch后,双击运行补丁版。建一个快捷方式就好。