大牛们来看看这是什么情况吧,求解决办法
{:5_188:}大牛们好,最近小弟在搞一个叫做丁丁的验证(哎哟名字好邪恶{:5_121:})的山寨,也看了论坛里面大牛的教程于是就跟一款FZ干上了。因为这款FZ呢,他前几个版本都是用VMP壳的,不过没事,我有xuepojie工具包,里面的脱壳脚本让他的FZ脱的光光的{:5_124:}
找到了静态数据,地址,和版本号,山寨成功了。
最近作者不知道受到了什么刺激,上了一个不知道什么壳。
我就把FZ丢进去OD,我也不会脱
我就换附加的方法,发现一打开就蓝屏{:5_191:}。机智的我把FZ挂起后再附加
发现作者把字符串也弄不见了{:5_191:}我心那个痛啊。
我心想,你更新版本,你的服务器后台地址还是那个吧,为了验证我抓包
没错抓到的地址还是那个吧,我就从旧版本FZ那里获取了服务器地址的特征码(这个叫特征码吗?还是叫其他,我不知道{:5_128:})
68 74 74 70 3A 2F 2F 31 34 38 31 37 31 2E 76 68
6F 73 74 32 30 33 2E 63 6C 6F 75 64 76 68 6F 73
74 2E 63 6E 2F 7A 7A 2F,这个就是从OD的数据窗口对应的特征码.....(他的服务器地址是:http://148171.vhost203.cloudvhost.cn/zz/)
皇天不负有心人,我算是找到了他的服务器地址
,和静态数据and版本号,他的软件编码是1002抓包的时候看到了。
把他的地址改成我服务器的地址,其他的我在后台改,多出来的用00填充
{:5_121:}于是楼主大喊一句,终究是被我山寨了。
保存文件.
{:5_191:}妈个鸡,这什么鬼
{:5_191:}楼主当时就想那豆腐撞死自己.大大们来看看这怎么解决吧。软件地址是http://pan.baidu.com/s/1c0LuAYG#path=%252F%25E5%2586%2588%25E6%259C%25ACDNF%25E7%25A7%2581%25E6%259C%258D%25E8%25BE%2585%25E5%258A%25A9
本帖最后由 mq5123 于 2016-2-8 00:58 编辑
冈本的DNF私服FZ 下蓝屏 断点显示调用 retn 断首
特征码 55 8B EC 81 EC 64 00 00 00 C7 45 FC 00 00 00 00 68 08 00 00 00
断尾 第二个jmp 应该是向上的在这个JMP下面的CALL下断点
正版帐号密码 登录后单步F8 截取到当前最新版本的各种数据
山寨提示1,保证公告文本一直(有退出暗装)
山寨提示2,补丁记得retn蓝屏调用断首(蓝屏暗装)
山寨提示3,有一个重启暗装 PC Hunter 可破,测试几个关机断点无效,没有详细分析
结语, PC Hunter禁用关机重启 可破关机暗装 直接修改hosts 转本地验证可以用
经测试所有功能正常可用
刚刚忘了,补充一下,貌似有一个后台木马之类的下载,直接nop掉哪个CALL,经测试可用
(亲给分呗) 呵呵 IAT HOOK吧。要么就关键地方注入DLL启动的时候修改好就好了,然而SE壳也这样,附加蓝屏 估计有检测OD然而也不没何卵用 SE壳。用PYG的补丁吧。 山寨很简单,数据都已经找到了 LCC 发表于 2016-2-7 17:35
山寨很简单,数据都已经找到了
是啊,该找的都找到了
但是我改完后保存出来,发现文件已损坏 846793234 发表于 2016-2-7 17:46
是啊,该找的都找到了
但是我改完后保存出来,发现文件已损坏
hook下完事,很简单 LCC 发表于 2016-2-7 17:56
hook下完事,很简单
大大,该怎么HOOK,有没教程教一下,我不懂Hook是什么 Zixue 发表于 2016-2-7 17:13
SE壳。用PYG的补丁吧。
怎么个用法,我不懂这些,才玩逆向没多久{:7_255:} mq5123 发表于 2016-2-8 00:55
冈本的DNF私服FZ 下蓝屏 断点显示调用 retn 断首
特征码 55 8B EC 81 EC 64 00 00 00 C7 45 FC 00 00...
{:5_188:}大大,我还是不太懂,我山寨要找的那些都找到了。服务器地址我也改了
他提示文件已损坏无法运行。,大大你的那些暗装怎么找的,我不太懂
退出安装和蓝屏暗装怎么找,后台木马怎么找。。
页:
[1]
2