网站 › 『=逆向图文=』 › [新手福利]篡改百度空间验证链接和内容，桥接自己百度空间，我说了算

Bill 发表于 2014-10-7 17:37

[新手福利]篡改百度空间验证链接和内容，桥接自己百度空间，我说了算

本帖最后由 Bill 于 2014-10-7 17:37 编辑

今天我又来了，发布新手福利了。很多软件利用百度空间验证更新，MD5，读取软件内容等等，如果有FZ用的是百度空间，那你明白的，自己给自己创建帐号，VIP，年卡什么之类的，现在用个例子给新手们讲一讲原理。大牛绕道，呵呵~还是直接进入主题。软件比较简单，利用百度空间读取内容验证版本，如果版本有改动，弹出更新信息框，选择不更新，马上退出程序，选择更新，会弹出更新的网址 ，然后退出程序。下面先看一下软件的运行过程。

弹出的网页（可以是百度网盘，网址等等）



对于这个软件逆向，有很多种方法，今天不讲逆向信息框，不讲在程序退出下断点，今天讲篡改内容，改成自己的空间，和改弹出网页的网址。
教程有2个版本，大致讲讲，方法有点类似，至于加壳之类的，可以借鉴这两种方法。如果不会，自己看鲨鱼叔的教程恶补一下基础。

版本一：新手版

一、载入OD，查看字符串，输入“baidu”查找


二、找到百度空间地址，（以及有用的一些字符串，适合是其他方法爆破的话），



打开浏览器，输入百度空间地址，看看到底是什么东西



发现一个版本号1.10，而软件是1.0，说明软件需要更新，还发现一个MD5，但是此次不讨论MD5。

三、数据跟随，或者按enter键



四、来到代码区域，右键数据跟随，查找立即数






五、在数据区域找到了我们的ASCLL代码，选中二进制字符串，然后按空格，修改成我们自己的百度空间的地址



我事先已经注册了一个，也发布了一个类似的版本号，



此处需要注意：
自己发布的文字必须要和原来百度空间的格式一样，否则就有可能出错。具体可以看原来的源代码



看到版本号和原来的意义，都是p标签包含，所以不会出错。如果查看源代码。出现<p><span>的话，重新修改一下自己刚才发布的文字，可能带了字体格式之类的，<span>是行内元素的标签。
六、修改完成，右键复制到可执行文件。





七、保存文件，如果需要更改弹出网页的地址的话，可以刚才一起修改。



八、运行文件试试。版本无需更新，搞定。



下面是版本二：也还是新手版。只是稍微大众化一点。大牛勿喷。
类似的方法我就不再重复演示。
一、还是载入OD，右键查看字符串。继续搜索“baidu”,咦。这次怎么找不到了



这些也是出于很多作者对软件的保护，不过这个软件只是做了简单的子集处理而已。找不到这么办，试试找找其他的，好像也没找到有关百度的，就刚才的论坛地址也找不到了。

二、仔细看最上面的字符串，POST和GET，这是一般网络操作90%以上都在用的，POST顾名思义就是有提交的意思，比如往数据库、空间、服务器等等，而GET就是访问、获取返回数据，从数据库、空间、服务器获取需要的信息。而我们的软件正是从百度的空间获取需要的信息从而进行验证的，老方法，按enter键跟随。



三、在GET位置处查看立即数（此处简化，因为大家不可能一直新手啊，要进步，以后肯定是越来越少文字的了，最后就是看图了，如果看图能看得明白，那就是真正学到了）



四、在GET上下查找一下，是不是很熟悉，我们需要的信息就在这里了。剩下的同上了。


五、以为教程就这样完了吗？错了，此处还有一个重要的知识点，bp ShellExecuteA，下断拦截弹窗网页的API，如果大家熟练的话，可以用send等等拦截封包的API，不过要找很久。。。好像是到达程序领空了。。。。貌似好高深啊，什么是领空，这个问题我也说不明白，看了领空的解释，我还是不明白，我只知道这地方无法操，作。这下大家明白领空的含义了吧。
（1）下断点，bp ShellExecuteA




（2）运行，F9，点击确定



（3）程序被断下,仔细看软件的标题[模块-SHELL32]，这时已经在传说中的领空，反正不能操作了，，，这是仔细看右下角的堆栈窗口




（4）数据跟随，此处省略些许文字。。。。



（5）回到程序可执行代码区域，如果要爆破，看（6）



（6）找到这个call的头部，然后空格修改，改成retn 0x4，为神马是 0x4，仔细看代码的尾部，保持一致，否则不可预知的错误。
爆破了这里之后，程序就不会在点击确认更新的时候弹出网页了，这也是为什么这么多软件在程序启动和关闭时弹出网页了，从这里爆破！



（7）这里讲篡改！！！！在头部F2下断。然后重新运行程序，或者ctrl+F2



（8）F9，然后确认更新，最后程序在代码头部被断下



（9）ctrl+B，查找字符串，输入网址相关的字符。



（10）这里输入百度，多出来的先用空格，先补2个，确认好位置，空格是20的代码，然后把下面多出来的全部改成00，确定







要学会看图啊，很直观呀



保存



运行程序


看看，地址变了。。。搞定



之前为神马要重新运行一次，直接找不就行了，是为了让大家看看那个地址存在哪个位置

在头部。F8单步跟进，看到截图这里，这样有寄存器的数据，存在内存里

跟随查看数据





教程就先写到这里，如果说网址太长了要怎么修改，欢迎等待下一节教程。

小强 发表于 2014-10-7 18:02

{:5_124:}干啥用的。M牛逼、

Shark恒 发表于 2014-10-7 18:16

{:6_146:}非常详细，新手的福利啊！！辛苦辛苦！

先森 发表于 2014-10-8 13:45

膜拜、{:6_156:}

t40462860 发表于 2014-10-9 11:36

{:6_150:}膜拜，新手福利{:6_158:}

我必须_说谎 发表于 2014-10-9 13:27

学习了。。。。

chinmo 发表于 2014-10-9 14:11

{:6_150:}不错，教程比较详细，对新人比较有帮助

能隐能显 发表于 2014-10-9 16:26

很详细的教程，赞一个

livingbody 发表于 2014-10-9 20:36

下载了，回头认真看

Dean 发表于 2014-10-11 16:56

原来如此，学习了，感谢分享

查看完整版本: [新手福利]篡改百度空间验证链接和内容，桥接自己百度空间，我说了算