Mines 发表于 2016-4-12 21:09

爆破 刷网页访问量工具 过程

本帖最后由 Mines 于 2016-4-13 14:25 编辑

本人菜鸟有说的不对的地方请谅解并及时纠正我。。这个工具是用来刷网站访问次数的。

1.打开工具后提示要注册!本程序无壳。。方便新手!

2.载入OD,并运行,随便输入“1111111111”点注册看看有没有提示!这里提示注册码错误!然后点确定关掉这个信息框~

3.既然有提示了有好办了。可以通过查找文本的方式找到关键点,也可以使用信息框API断点来突破!这里我们使用 bp MessageBoxA 然后回车!按Ait+b查找断点是否成功!OK这里成功了!

4.我们回到程序再点一次“完成注册”试下!OK断下来了,显示在7XXX开头的地址里。我们把这个断点按F2删除掉!因为已经断下来了不需要了!然后下右下角的调用来自!右键“反汇编窗口跟随”!
   
5.来到下图这地方,然后我们向上翻动一点点!可以看到是上边这里调用了这个信息框 MessageBoxA !在上边不远的地方很近有一个对比和跳转!
在逆向的时候,看到这些跳转上边带 cmp xxxxx,testxxxx这2个指令的时候要特别注意!而且上面的CALL 90%以上都是关键CALL!我们在这个CALL这里下断点,按F2就可以下断点了!然后按F9运行程序!
      004836A0|.E8 FB14F8FF   call 刷网页访.00404BA0

      004836A5|.83F8 0C       cmp eax,0xC
      004836A8|.74 3F         je X刷网页访.004836E9
6.下完这个CALL处的断点后然后我们再回到程序点一下 “完成注册”又断下来了。右上角EAX内显示了我们的假码“111111” ,注意这里的cmp 一般来说,都会对比EAX,是0还是1,这里 cmp eax,c 换成10进制也就是 12,为是什么对比不是0和1是12泥,我猜可能是注册码的长度,我们回到OD,按一下F8!来到CMP这行!我们再看

7.我们发现EAX变成了9,我们之前输入的假码也是 9个 “1”,说明这就是判断注册码长度的。。。被我们猜对了。

8.我们再回到OD按一下F8,来到je跳转这行,发现跳转是灰色的,说明没有跳转,因为我们输入的不是12位的注册码所以它不跳的话我们就让它跳。这里是灰色的说明它不跳,那我们把它改成JMP跳。灰色代表不跳,红色带表跳。双击后就可以编辑它的汇编代码了。JE改成jmp,注意后边的X去掉。。




9.然后我们继续按F8,慢慢向下走,注意je jmp,jne等等这类的跳转指令,到0048370d这里又发现一个可疑的地方
0048370D|.E8 3A3C0000   call 刷网页访.0048734C //CALL
00483712|.84C0          test al,al                                 //test cmp 对比指令
00483714|.0F84 C7000000 je 刷网页访.004837E1//跳转。。
我们在这里简单的上下看看,发现,这个跳转下边有类似KEY 之类的东西,应该是注册码之类的,跳转到的地方就一个信息框!我们F8到这个JE的时候发现它变成红色的线了,说明跳转实现了。跳过了KEY这里。这里我测试了。如果让它跳的话就提示注册失败了




10.所以我们不能让它跳,修改掉它的指令!直接NOP掉!


11.修改后我们直接按F9让程序运行起来!OK逆向成功!我

12 我们保存一下刚才修改的代码,然后起个新名字就行了。然后关闭OD!打开我们刚才保存的新文件!然后还提示要注册!我们直接点完成注册!不输入任何注册码,OK,直接注册成功!







13 你以为这样就完了?我们能不能不显示这个注册窗口直接到主界面泥?后来经过分析后发现在我们第二次的跳转那里上边有个CALL应该是关键CALL,除了点击注册的时候调用了一次外。在启动的时候也调用了。所以我们直接修改那个CALL的返回值就可以了!

14.如果不懂的话继续向下看,拿我们刚修改过的文件从OD打开,直接到跳转CALL那里下断点然后点击注册!然后向下一步到TEST,这行,发现在调用CALL后EAX是0,一般的话,如果EAX=0的话肯定是失败的!要让它变成成1!重新载入下程序,再次点击注册又断到这个CALL这里我们回车进入这个CALL



下图是进入CALL后的地方!发现最下边是retn!我们在它最前面修改掉EAX=1然后返回就行了!如下图修改后



然后我们再次重复保存这个修改后的文件,然后打开后发现直接打开,发现OK直接不用输入注册码了!爆破成功{:5_116:}

Mines 发表于 2016-4-12 21:15

编辑的不好,还请管理员再次编辑一下。我第一次写逆向的教程。不太会。还请谅解。。

不工作的男人 发表于 2016-4-12 21:21

楼主,没有屌丝通道,差评。

True、end 发表于 2016-4-12 21:25

{:5_120:}其实我是好奇他的写法和他的IP来源= =

无涯 发表于 2016-4-12 21:58

谢谢楼主..{:5_116:}

chenjinghappy 发表于 2016-4-13 00:34

顶 谢谢分享必须顶{:5_117:}

tony2526 发表于 2016-4-13 06:56

来瞧瞧,谢谢楼主分享

究极vip 发表于 2016-4-13 09:04

不懂,感觉好6的样子

浅时光 发表于 2016-4-13 09:24

来瞧瞧,谢谢楼主分享{:5_116:}

ningzhonghui 发表于 2016-4-13 10:54

没记错的话,这个应是VB 写的软件吧...有点熟悉的感觉
页: [1] 2 3 4
查看完整版本: 爆破 刷网页访问量工具 过程