易语言写的。没思路了。

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

新论坛好漂亮啊！点个赞！

先前的帖子可能因为改版的原因有些字看不清了，于是重新调整了一下

希望有好心的大佬看到帮忙指点一下，在此先谢谢了

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

通过字符串搜索，看到了有“易包”等字样，断定是易语言写的FZ

查壳是SE，恒大说过，不要害怕有壳的程序，打补丁就可以解决。有些程序作者可能只知道一个VM，不见得懂得怎么去VM关键的代码。【题外话了，言归正传】

这个程序不像是其他的网络验证，就一个登陆界面。

而是除此之外，它单独提供了一个功能模块，作者的本意是先登录后使用，这里考虑是不是可以跳过登录？直接进入功能界面呢。【并非push】

通过一些字符串分析【这个作者很有可能是在别人的基础上二次加工，加验证，得来的软件】【又扯题外话了，言归正传】
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

一般OD不行，过不了检测，奉上我的过检测OD

https://wwd.lanzoup.com/inQLNxsoile
密码:ctjt
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

运气比较好，通过字符串搜索，定位到了关键跳




程序有二次验证，思路围绕跳过“账号未找到”的信息框，一步一步往下排查。

跳过错的，总得遇到对的是吧？



在调试过程中，走过一个call，地址【00467AE6】程序并没有终止，然而不管是按F7 F8 F9都无法在步过或者运行，线程全部激活也没反应，程序窗口还不可点。

于是重新载入，单步F7一点一点跟，发现转了一大圈又回到了这个call



nop掉不行

跟进去找到第三个层嵌套的call，发现终于有可以跳过去的地方了，果断跳过，程序终止！【一脸黑线】

这特喵的我是拿它没辙了。。。。没思路了

我把录制的分析视频和程序源文件上传，里边TXT记录了有关键地址，希望有好心的老师看到帮忙解答一下。

本着论坛精神。没事少玩会儿手机，多学点技能！


------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

分析记录+分析录屏+源文件


https://wwd.lanzoup.com/iV1k4xsoibe
密码:fjfj

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------


我在影子系统里捣鼓的，没发现什么暗桩，程序应该是安全的。

附上杀毒截图：

可可验证，里面加了修改直接触发远控。这叼毛阴险得很。

想想办法啊，总不能惯着它吧？

DavidLiu 发表于 2021-12-20 15:38
想想办法啊，总不能惯着它吧？

想什么办法？ 他的所有版本我都弄完了。  还需要弄什么？  雅典娜？皇冠？熊猫？龙骑士？LV？有什么区别？都是调用了DLL的。  

您说弄完了是指？是全都右键垃圾桶了吗？

djj1076185529 发表于 2021-12-20 15:41
想什么办法？ 他的所有版本我都弄完了。  还需要弄什么？  雅典娜？皇冠？熊猫？龙骑士？LV？有什么区别 ...

巨佬给指点一下吧{:5_117:}

巨佬给指点一下吧{:5_117:}{:5_117:}{:5_117:}

请问找到他的窗口没，我就差找到他的窗口了。
我找的都是无用 的窗口

push倒是能找到大概5个窗体吧，如您所料，都是些：注册说明，剩余时间提醒或者更新提示，等等一些无用的窗体。

而且它的弹窗不是Messagebox等等这些API断点能断下的，应该是跟它自身调用的DLL有关。

查看线程它并没有释放出来新的DLL文件，应该不属于释放类的保护方式。

也是发论坛碰碰运气，看看能不能有新的思路

每天都会过来看一看，真的那么无解，我也就死心了

来 学习一下 看看