分析某辅助.遇到难题.求指教! Thx
本帖最后由 FrankBoy 于 2015-7-23 09:44 编辑{:5_193:} 愚蠢的我。竟山寨不了。认命
分析某款FZ。
打开不知道什么验证,并没有DLL什么的。
这个软件首先打开主程序会生成一个隐藏的EXE程序,并且打开他。
每次打开主程序都会生成一个随机的名字的隐藏程序,伴有BAT。其功能应该是改名字吧。
分析过程:
首先尝试登录看看有提示框没有,然而没有提示框。小编打开软件后附加开始调试
首先我找出了退出暗桩。并干掉了。
FF 55 FC 5F 5E 处下断 跟进去。
进去直接看到个 RET。。小编想着跟过去看看。。
跟过去后就直接出来了。。
哪位高手可以帮忙分析分析,给小编提供个思路。谢谢了~~{:6_200:}
{:5_116:}PS:PUSH方法先不用说了。我不喜欢PUSH.
附上此软件的链接: http://pan.baidu.com/s/1kTksLnx 密码: ppbd
传输密钥找不到。 找不到关键跳
本帖最后由 sure 于 2015-7-23 07:35 编辑
1.首先这个程序是SE 2.3.0.0加壳保护·名字是动态名··必须用拖拽Patch
2.此程序是飘零商业4.0,需要附加来调试, 可以看下我的可可9.3教程,此程序某个特征会变化。
3.变化的特征代码如:sub esp,0x8 利用此特征即可爆破 58 8B E5 5D C3 55 8B EC 81 EC 08 00 00 00 定位pop eax
4.pop eax----004136EE 地址下断,输入假码·点击登陆·断下·搜索0000空数据 首地址:004A4642
5. 把此代码Patch进去 58 8B D8 83 C3 1C C7 03 01 00 00 00 8B E5 5D C3
6. 00401000——FF25----干退出:00438010 C3 retn
7.拖拽补丁制作工具上场~~KO_ 简单粗暴
00438010 C3
004136EE E94F0F0900
004A4642 588BD883C31CC703010000008BE55DC3
飘零= =!应该是可以山寨把 童真丶 发表于 2015-7-22 15:25
飘零= =!应该是可以山寨把
童真姐姐~
{:6_207:} 可以提供下爆破思路吗?
我不想山寨 。。 - -爆破PUSU 都有功能呀 关键是你能不能PUSH到, 我相信这东西VM的他自己都不人自己了.找特征看看能不能找到爆破点没有最好是山寨或者本地.! 童真丶 发表于 2015-7-22 15:51
- -爆破PUSU 都有功能呀 关键是你能不能PUSH到, 我相信这东西VM的他自己都不人自己了.找特征看看能不能 ...
PUSH我找到的是0x80000301 这个地址。 但是无法。 运行不起来 指定窗口未载入 是飘零无误,点击后无任何提示是的!PUSH应该是不行!建议山寨吧,及时PUSH成功也有二次验证! Break 发表于 2015-7-22 19:10
是飘零无误,点击后无任何提示是的!PUSH应该是不行!建议山寨吧,及时PUSH成功也有二次验证!
山寨死活找不到版本号与传输密钥 你没发现么 其实那个隐藏随机命名的文件就是FZ本身,
但是不知道作者用的什么方法 使FZ本身 无法运行。必须通过那个SE壳的程序才能启动。
传输地址:http://116.255.176.82/cleys_msg_user1.asp
传输密码:1
版本号:37
飘零商业4.0··直接爆破吧
页:
[1]
2