破匣求禅 发表于 2017-2-26 21:51

请教大神们关于网络验证,又要授权文件的注册机制要怎么办好

一个软件又弄了很久,转来转去没头绪,请教大神们应该是TMD的壳,如果是普通OD马上被检测到,用的是零日论坛的可以过检测,如果没有的我在下面提供一个下载,说下这个难度 正常的注册我估计是给一个授权文件,替换或者不替换放到程序下面,所以这个点刷新授权,会读取set.ini,这个文件第一行是绑定的QQ号码,第二行其实是作者本身有几款软件,这应该是它的区分,这两个合成后组成机器码,这个刷新授权,其实就是相当于我们的平常见的注册按钮。 查字符串倒是有很多关键字符,例如未授权,永久,失败,等等,但是这个程序和我平常的思路理解的不太相同,正常的程序是跳到永久,然后执行什么代码,或者跳到未授权又执行到哪里,这里全部赋值给eax,(见下图)不知作者是什么想法,然后我把它全部下断,竟然没有断下来,{:6_224:} 分析的时候发现好几处都被VM掉,对被VM掉的程序这种应该怎么办呢? 而且这个程序有个特点,一般都是在保存文件前提示注册,它是让你选择完保存路径后再提示注册,我下读文件的断点,能断下来,但是跟不到关键的地方,在字符串里能看到保存文件的字符(搜索“编号”),但是往上被VM掉了 分析了那个失败后,找到这个常量0x539CD0,在所有常量下断,点授权后可以断下来一个,下面那个CALL可以进去看,在验证网址之类的,用那个读文件的断点,也是断到差不多这个位置 因为这个软件是恢复视频的,我做了一个视频镜像拿来测试功能,打开软件后,点误删除,再点下一步,再点打开镜像,找到我附件中50M,选中,就出来结果了,目的是要保存它即为成功,求大神指点思路{:6_224:}





程序及分析过程。 链接:http://pan.baidu.com/s/1i5yXecd 密码:63dv零日的OD,在win7 X64可以过检测 链接:http://pan.baidu.com/s/1mi0lEMO 密码:yy41


补充内容 (2017-11-22 18:50):
链接:http://pan.baidu.com/s/1sk8OXqt 密码:taab
地址在这

hongge 发表于 2017-2-26 23:30

沙发~{:6_225:}TMD的壳是什么壳,没见过

万能的群主 发表于 2017-2-27 09:34

突然觉得,是时候要接触网络验证这块了,之前一直玩本地算法这块,看到TMD还以为是骂人的哈哈

haier8917 发表于 2017-2-27 09:49

TMD壳是Themida的简称,此壳特点:::OD不强的话,被检测到。,我如果在虚拟机里调试,则会被检测到虚拟机。。。。。(我估计TMD是骂壳的作者吧)

haier8917 发表于 2017-2-27 10:32

楼主你好,你先从529f93跟下,看看是什么和未授权比较(我估计应该是授权的状态和未授权比较),未授权的话比较是一致的,跳转不实现,如果已授权的话,比较就不一致,跳转实现,下面那个跳转改JMP试试

破匣求禅 发表于 2017-2-27 10:42

haier8917 发表于 2017-2-27 10:32
楼主你好,你先从529f93跟下,看看是什么和未授权比较(我估计应该是授权的状态和未授权比较),未授权的话 ...

谢谢大神光临,这个跳转我也是没见过这种模式,没有比较,上面还有一个JMP,基础差{:6_224:}

haier8917 发表于 2017-2-27 12:24

这里的流程大致知道了:::程序首先把授权状态与?比较,相同(应该是未绑定QQ号)则跳,否则程序往下走,把授权状态与未授权比较,相同(未授权状态)就不跳,否则程序必跳,然后根据你分析的那两个英文如果真的分别是永久或者按次的话,程序就会把授权状态与永久进行比较,相同则跳到529ffc处,不同则程序往下走,授权状态与计次版进行比较,不相同跳走,相同的话程序往下走至529ffc处,此处来了个大跳(估计此处是否跳到某个模块对授权状态的永久还是计次版的具体判断呢,代码是否被VM了呢。。。。),所以,根据分析,他的几处跳转为::529F83不跳;529FA0必跳;529FD9必跳,如此跳转不实现,那么529FF6不跳(后面两个只需要1个条件实现(程序可以执行529FFC处指令)即可)

破匣求禅 发表于 2017-2-28 00:08

haier8917 发表于 2017-2-27 12:24
这里的流程大致知道了:::程序首先把授权状态与?比较,相同(应该是未绑定QQ号)则跳,否则程序往下走, ...

首先感谢大神,这贴子中午回的,现在才审出来,恒大太忙了。。

不过不是这种简单哩,大神说的这个爆破其实和我第五张图说的把那个JNZ nop掉,让它执行那个大JMP就行了,这种方法确实是可以弹出保存文件,但是点保存后,会再次验证,应该是哪里有暗桩之类的,根本保存不了,程序就崩溃了。。

那个OD应该可以调试的呀,我在主机win764,没有问题{:6_224:}

haier8917 发表于 2017-2-28 00:20

破匣求禅 发表于 2017-2-28 00:08
首先感谢大神,这贴子中午回的,现在才审出来,恒大太忙了。。

不过不是这种简单哩,大神说的这个爆破 ...

那个大跳是否跳进了被VM的代码呢。。。。。。。。如果是,那就。。。。。。玩不了啦

破匣求禅 发表于 2017-2-28 09:18

haier8917 发表于 2017-2-28 00:20
那个大跳是否跳进了被VM的代码呢。。。。。。。。如果是,那就。。。。。。玩不了啦

没有VM,大跳过后是让你选择保存文件位置,然后你点保存,再单步走的话,好像又校验了一下,但是没有跳到刚才那个大跳的位置了,F8单步的话,可以看到没有VM,但是一直F8完了,也不见保存,如果直接F9,那程序就崩溃。。。{:6_224:}
页: [1] 2
查看完整版本: 请教大神们关于网络验证,又要授权文件的注册机制要怎么办好