网站 › 『=悬赏求助=』 › 表哥们来试下这个网络验证。听说没人破得了！

cf8 发表于 2016-6-7 11:04

表哥们来试下这个网络验证。听说没人破得了！

逆向路上遇到某验证。一路碰壁啊！悬赏区发帖了，也在官方群里问各位表哥。
都没有得到方法或者听说有表哥破了。
遂自己下载了源码、加上注释。编译出来对比。
然后想通过特征码方式爆破、山寨。push、hook。
可能是因为我才疏学浅、全失败。
我来说下我的过程。
原程序有各种检测各种暗装。（没虚拟机检测）
载入OD运行就弹错。
所以我BP CreateWindowExA。点运行断下来了

老套路。到401000搜索字符串。（原程序加了壳。我自己编译的没加壳。所以我把自己编译出来的程序一个加了壳，一个不加壳。）
然后找到暗装FZ未加壳的特征码、到加壳里面FZ查找。试了几个都一无所获

遂放弃特征码。（VMP2.07的壳 我是菜鸟不会拖。所以各位大神就别提让我脱了！各种脚本。各种方法都试了！）

于是我想到push爆破
用E-DEBUG调试失败。
然后我用EWND插件找窗口。（push1001找不到）


找到12个窗口。来到ff25准备替换。发现被隐藏。易语言独立编译的。


本人才疏学浅、只会这么点点。
遂继续上论坛搜索教程。
看了@桐人 大大的教程后照猫画虎。终告失败。
然后我就想山寨。
CTFL+M找到了他的后台地址。替换成我的。
然后ff25找了一个退出。ret

用XH打特征码补丁。运行后程序直接闪退并删除自身。
这搞得我头大啊！！！问了各个表哥都没有解决问题！（我又去看了恒大第一课100遍）
各种下断、各种F7 F8都试了。软件循环校验！无线的循环。
求助各位大神。各位表哥。
由于考虑到原程序有SRV
所以我就上传了自己编译出来的。！！！请大家指导该怎么破。
一个没加壳。一个加了VPM
VPM：http://share.weiyun.com/973b54c7f14bf0aefd350cfd24d81b10
未加壳：http://share.weiyun.com/51e34e21ee6a47eaf96ca73ba20c7242

为了保险起见！请各位表哥开影子系统。软件不检测虚拟机。
成功界面：

在线等各位表哥！@桐人 @shark恒@xiaoniao
不对的地方请各位指正！毕竟我是新手。初来乍到 不懂规矩！谢谢。

cf8 发表于 2016-6-7 12:11

本帖最后由 cf8 于 2016-6-7 12:24 编辑

补充几点。1.程序在启动时有个防破校验，是在启动完毕后开始校验的！读取你的机器码识别在不在后台黑名单！不在继续启动后还会循环校验！发现被程序更改后立即结束进程并删除自身。然后读你的机器码加入后台黑名单中。一但加入了黑名单。程序在这台电脑就无法运行，会直接退出删除自身。
2.push按钮事件山寨 hook 只要能够正常运行！（在OD里运行不算）都算成功。但我就是找不到那个暗装
3.补充一张源码图。源码也可以在论坛搜索下载。我只是改了服务器地址。其他的都没改。


4.我想知道的是如何找这种验证的暗装并去掉它。山寨的话 怎么找他的数据。
5.附上我逆向的原来那个程序。可能有SRV..我不确定！保险起见开影子系统！
http://share.weiyun.com/b286aeddbf3b7c543928cb169ab8796a

xdr 发表于 2016-6-7 11:04

本帖最后由 xdr 于 2016-6-7 12:23 编辑

cf8 发表于 2016-6-7 12:14
表哥试下不在OD运行打补丁能运行吗？程序有二次校验。
没有什么问题啊
补丁在这里

cf8 发表于 2016-6-7 11:09

{:5_191:}@Kissnero @三千亿少女的梦 @xiaoniao 表哥们来拿HB   。听说大小王PUSH秒一切。{:5_188:}

自然卷。 发表于 2016-6-7 12:00

我就是来装个逼..{:6_225:}

xdr 发表于 2016-6-7 12:05

我用的恒大教我的pus恒大法{:6_225:}

未vm版本

0040116E      68 15D40352   push 0x5203D415

00440CFB      C9            leave
00440CFC      C3            retn
00440CFD      90            nop
00440CFE      90            nop
00440CFF      90            nop


vmp版本



00440CC3    C3            retn
00440CC4    6A 00         push 0x0
00440CC6    68 01000000   push 0x1
00440CCB    6A FF         push -0x1
00440CCD    6A 05         push 0x5
00440CCF    68 16D40306   push 0x603D416
00440CD4    68 15D40352   push 0x5203D415
00440CD9    E8 5C800000   call V1_0_vmp.00448D3A
00440CDE    83C4 18         add esp,0x18
00440CE1    B8 00000000   mov eax,0x0
00440CE6    E9 00000000   jmp V1_0_vmp.00440CEB
00440CEB    8BE5            mov esp,ebp
00440CED    5D            pop ebp
00440CEE    C3            retn

0040116E    68 15D40352   push 0x5203D415

00401185   /E9 3AFB0300   jmp V1_0_vmp.00440CC4

自然卷。 发表于 2016-6-7 12:14

本帖最后由 自然卷。 于 2016-6-7 12:16 编辑

给你一个未VM的版本,下按钮事件,你就会明白..
有没有效果我不知道,so,装个逼 而已.

cf8 发表于 2016-6-7 12:14

xdr 发表于 2016-6-7 12:05
我用的恒大教我的pus恒大法

未vm版本


表哥试下不在OD运行打补丁能运行吗？程序有二次校验。

cf8 发表于 2016-6-7 12:38

xdr 发表于 2016-6-7 12:22
没有什么问题啊
补丁在这里

测试了。因为我在后台黑名单中删除了你的机器码。所以你能运行！我把我电脑加入黑名单后我电脑也无法运行！

520Kelly 发表于 2016-6-7 13:01

so,说了这么多你还是不明白加壳跟VM代码的区别，然并卵

查看完整版本: 表哥们来试下这个网络验证。听说没人破得了！