飘零金盾 各种VM, 这个软件,现在市面上好像没有破解版的.
本帖最后由 亡心男久溺深海 于 2015-8-5 21:25 编辑这个FZ是 飘零金盾的.
然后是各种vm. 调试这个软件已经好多天了.一直苦苦无果.包括今天,从早上7点到现在 基本都在电脑面前 调试这个软件.看八爷的视频.还有小生大大的,
在之前 我在吾爱汇编论坛.某逆向.某逆向社区,某技术吧,都去看过很多很多帖子.
下过很多很多视频教程.
尝试过 转本地,push窗口,按钮事件.特征码,山寨, 能尝试的 我都尝试了.还是不行,而且我还购买过这个软件 一个多星期,也就是说 有正版数据, 可能是经验尚浅 都还是不行,
所以发上来,看看大神们是怎样的一个调试过程, 还有怎样的逆向分析思路,
链接附上,感激不尽.
放了几张图片上来. 其实还有很多, 都被删掉了. 包括补码的, push的,转本地的,都有好多文档和截图, 当时以为能够搞定 所以就删掉了,
(每个小时就能回5次帖子,你们回了帖子,我都不能及时回你们 , 蛋疼得不要不要的, )
链接: http://pan.baidu.com/s/1qWp9odQ 密码: sfmw
本帖最后由 sure 于 2015-8-11 01:32 编辑
额~请看22楼~~~~~ 貌似搞定了,你测试下吧! 登录成功后 还有2处暗桩~找老久了!! {:5_188:}
004D8790//退出
C3
004702EA //检测帐号已过期
C3
00482D69 //二次校验,不处理就蓝蓝
C3
007CADEF //pop eax_Patch
E964B1D9FF
00565F58 //Patch_正常pop数据
68645F560058E9C24F27009052696768742CB5C7C2BDB3C9B9A62CB5BDC6DACAB1BCE4CEAA3A323032302F30322F30322020427920537572650000
LCC 发表于 2015-8-5 21:08
请楼主附上分析记录
分析记录有超多的,很多文档,包括打了一个特征码爆破的补丁,那个补丁打开就错误了.
POST /user/piaoyh.asp HTTP/1.1
Connection: Keep-Alive
Content-Type: application/x-www-form-urlencoded; Charset=UTF-8
Accept: */*
Accept-Language: zh-cn
Cookie: plnumT=7%3A35%3A45; plnum=1; ASPSESSIONIDCCRDCASC=NOHDEEJACCEGAACOCBBEJOOG;
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Accept-Languge: zh-CN
Content-Length: 768
Host: wy.it1086.com
POST /user/piaoyh.asp HTTP/1.1
Connection: Keep-Alive
Content-Type: application/x-www-form-urlencoded; Charset=UTF-8
Accept: */*
Accept-Language: zh-cn
Cookie: plnumT=7%3A35%3A45; plnum=1; ASPSESSIONIDCCRDCASC=NOHDEEJACCEGAACOCBBEJOOG;
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Accept-Languge: zh-CN
Content-Length: 768
Host: wy.it1086.com
POST /user/piaoyh.asp HTTP/1.1
Connection: Keep-Alive
Content-Type: application/x-www-form-urlencoded; Charset=UTF-8
Accept: */*
Accept-Language: zh-cn
Cookie: plnumT=7%3A39%3A31; plnum=3; ASPSESSIONIDCCRDCASC=DPHDEEJAFNPMIFLLOODPBHIB;
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Accept-Languge: zh-CN
Content-Length: 824
Host: wy2.it1086.com
POST /user/piaoyh.asp HTTP/1.1
Connection: Keep-Alive
Content-Type: application/x-www-form-urlencoded; Charset=UTF-8
Accept: */*
Accept-Language: zh-cn
Cookie: plnumT=7%3A39%3A45; plnum=1; ASPSESSIONIDCCRDCASC=DPHDEEJAFNPMIFLLOODPBHIB;
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Accept-Languge: zh-CN
Content-Length: 371
Host: wy2.it1086.com
这是我抓的包, 当时想本地,
共找到5处地址:
00402CEC
0046A3E1
00487B00
00487B26
00487D43
输出完毕!
00402CA6 55 push ebp
0046A39B 55 push ebp
004878D6 55 push ebp
004D8790 55 push ebp tuichu
这是蓝屏暗装,
{:5_117:}太厉害了 PJ了么
童真丶 发表于 2015-8-5 21:14
太厉害了 PJ了么
童真大神啊,你在取笑我么, 肯定没有逆向掉啊,
要是逆向掉,我就不会来麻烦你们了.
最后还是得来请教你们, 博士你也搞,博士弄起来很头疼的,技术不到家的最好别弄了 童真丶 发表于 2015-8-5 21:14
太厉害了 PJ了么
童真丶师傅 看看我的贴子啊https://www.52hb.com/thread-13246-1-1.html 本帖最后由 童真丶 于 2015-8-5 21:56 编辑
我都不好意思说的可以PUSH = =
004B1293 68 01000152 push 0x52010001
004D8790 C3 retn
004706CB 68 58A00152 push 0x5201A058
00472006 68 7D010152 push 0x5201017D
00486FD8 68 16760152 push 0x52017616
00486C7A 68 4EF30252 push 0x5202F34E
00486A73 68 75A20252 push 0x5202A275
0046C636 55 push ebp
开好去蓝屏的工具你试试把= =我很少玩金盾的好多窗口. 我感觉PUSH 会有功能!
本帖最后由 亡心男久溺深海 于 2015-8-5 22:29 编辑
童真丶 发表于 2015-8-5 21:46
我都不好意思说的可以PUSH = =
004B1293 68 01000152 push 0x52010001
哈哈,这些窗口我全部试过了,而且不止这么点, 还有其他的窗口,就唯独成功的功能窗口没有的,-