dll存储软件信息,带VMP壳的易游验证,找到假key,几周没有搞定
本帖最后由 Liumy 于 2016-5-30 01:49 编辑已知的信息:
[*]带VMP壳,有Super-EC模块(防调试);
[*]程序由oldcc.exe和cc.dll文件组成(图:1-1),初次运行,会释放大漠插件dm.dll,eylogin.dll,ereg.dll和可选记录用户密码的config.ini(图:1-2);
[*]检测OD,这周更新后KK也不能打开-运行,只能附加,附加后程序假死;
[*]假Key是通过附加,ALT+E,然后cc.dll中智能搜索,找到初始化失败,输入密匙下面的。
Fake Key: 0C28D4271B91F340C4177F36C0ED07BB(通过一个可以获取数据的易游工具判断);
图1-1 初始文件图1-2 初次运行
一些尝试:
[*]用上面的key做过樱花延时补丁,PYG优雅劫持补丁(没有hook,只是填写了cc.dll的实时基址10000000),XH补丁,都没有成功。其中樱花延时补丁运行后软件会弹出损坏错误(图2-1);
[*]Hook API的方式会有进程保护,dll注入失败,内存空间写入数据失败等等;
[*]获取key的软件会打开进程失败(图2-2);
[*]一些教程中的易游特征码,在eylogin.dll中提示未找到。
图2-1 错误提示图2-2 打开进程失败
希望得到的帮助:
[*]key的获取(愿意录个视频教程给新手就更好啦~)
[*]这一类软件的特点以及逆向的思路;
[*]对于这种进程保护一般采取什么措施。
新人注册下载教程HB噌噌噌的掉,现有的都在这了(有税{:6_218:}),抱歉哈。也在此感谢大家帮助菜鸟成长,~{:6_200:}
附件以及火眼查毒(需要正版账号获取数据可以留言):
MD5:d8990a002d06f6e4c6a848dfcee9acf5火眼结果分析(值得一看):http://fireeye.ijinshan.com/analyse.html?md5=d8990a002d06f6e4c6a848dfcee9acf5&sha1=74adcb078291cb285b03097eaaca328cbcdef5ed#full
DispCallFunc下段
运行两次出现key
0012F820 001A4154UNICODE "C257E7185939404EB99CE337A89412E5"
本帖最后由 Liumy 于 2016-5-30 01:53 编辑
不好意思,原来附件需要积分下载(或者可以设置免费?),补一个网盘地址:https://yunpan.cn/OcSXFqzXdFgtjW (提取码:bbf8)
CC梦幻西游的FZ吧....哥们早搞定它了....只是没有正版账号要正版数据才能山寨的不然没啥用....... 来学习一一下 酒醒黄昏 发表于 2016-5-30 09:29
CC梦幻西游的FZ吧....哥们早搞定它了....只是没有正版账号要正版数据才能山寨的不然没啥用.......
可以给个取key的思路么?或者是key我来获取下数据看看。发现这个账号是绑定机器码的{:6_224:} 三千亿少女的梦 发表于 2016-5-30 12:26
DispCallFunc下段
运行两次出现key
0012F820 001A4154UNICODE "C257E7185939404EB99CE337A89412E5" ...
我现在附加之后没办法运行,换了好几个OD了。请问DispCallFunc又是如何寻找的呢 Ctrl+G 输入DispCallFunc回车即可
三千亿少女的梦 发表于 2016-5-30 12:29
Ctrl+G 输入DispCallFunc回车即可
多谢大神帮忙,方便继续讨论么?
页:
[1]
2