难寻之关于TC版百宝云网络验证取数据的浅析
本帖最后由 难寻。 于 2017-4-4 21:10 编辑吾爱汇编论坛我发布的百宝云验证的教程最多,但是近来情况很让人失望啊~
百宝云取数据工具给你了,伪造dll给你了,逆向教程给你了,但是我越来越看不到希望,本打算是大家共同学习交流
呵呵哒,无奈看到的是某某论坛的百宝云单子大量流入论坛的悬赏问答
你就是接单,你自己挣钱,你就不能拿着给你的便利条件自己研究破了吗?自己的技术获得回报也是成就感
非要扔论坛悬赏区?把一个单子通过几十几百HB变成高大上的技术分析和讨论?
————————————————————以上纯属装13,——————————————————
下面我再说一点偏题的,也是自从发百宝云教程大家问我最多的问题
1.如何判断劫持dll什么时候调用?
答:劫持dll这东西,我看了一下,E语言的程序,百宝云的dll初始化都是在创建窗口后的,且都是取程序当前目录dll优先,内存dll其次,如果你非要研究什么时候调用,估计是TC或其他编译的百宝云验证,dll 是何时调用的,何时替换,下断函数:LoadLibrary 加载dll前替换 伪造dll
2.如何判断是百宝云验证
答:OD中跑起来的时候可以看到WebZCM.dl,这是注册码登录,一般在TC中出现,不百分百,OD或运行目录看到t_baibaoyun_win32.dll,网络验证登录,少许注册码也调用,SRS中出现”“http://v1.yokka.cc/0709?mach=XXXXX“,这些基本可以判断是百宝云,另外说一下现在TC大部分是百宝云验证
3.没有正版号能不能山寨
答:除最简单的只验证帐号密码的外,其余要取key,赋值,安全密匙,前辍后戳,加密方式等等这些需要正版号,取token和项目名无需正版号
—————————————————————以下才是正题,——————————————————
好吧,为了最后一次装比,我浅析一次TC的百宝云验证,给所有懂得感恩的人。
TC版一般分为t_baibaoyun_win32.dll和ZCMweb.dll会写到系统临时目录,如果同时出现,那么有用的就是ZCMweb.dll,T_baibaoyun的太简单,会的人太多,这里不做分析,我们分析一下ZCMweb.dll中取数据
首先,TC软件扔od,查看加载了哪些百宝云dll,我们发现上述说的2同时出现,那我们看ZCM中的数据,因为Tbaibaoy没数据,不懂啥意思,没细研究
双击跟进Webdll,搜索字符串,我们发现有很多可疑数据,比如:
下面还有几个,我们不一一例举,这些是啥意思呢?如果看过百宝云注册码验证的应该知道,返回数据是这样的:
{"flag":"********","机器码":"*******************","注册码":"*****************","登陆备注":"","项目名称":"*********"
那么根据这个数据我们可以看出 这是登录数据的返回,对比上图,
{"flag":"注册码登录","机器码":"15745A9031F9BB119C67F50417A719E1","注册码":"未知","登陆备注":"","项目名称":"传奇霸业无限开版"
根据百宝云注册码初始化 全局初始化 (token.内容, 项目.内容),项目名我们找到了 是什么,那么在字符串中我们也找到可疑字符串:
根据"一个进程不能执行多次初始化"确定这里就是初始化子程序,那么我们还原到易源码中应该是这样的
设置机器码模式 (1)
.如果真 (全局初始化 (token.内容, 项目.内容) = 0)
真实的初始化中应该是3个参数,大概是这样初始化(token,项目名,机器码)
依次获取到的token:e91eb2540cd6335ab0b0283ceaa9e1b5,项目名:传奇霸业无限开版,机器码:15745A9031F9BB119C67F50417A719E1
这意思很明显了,返回数据基本意思就是,flag+调用子程序名+参数,依据这个套路,解绑啥的我们都不鸟他,我们用个正版登录,直接到key赋值这里:
**** Hidden Message *****
读完全篇,没啥好东西,就是主要说简单的获取数据,会替换dll和伪造dll,那你就成功了百分之90,还差一个前辍后戳,就需要你自己加油了。
本篇前五行话和某些原因,此贴截至,今后不再发布关于百宝云网络验证教程,百宝云没什么意思了,以后专心换个验证研究,有不足之处欢迎大佬们批评指点。
这篇教程读完,我相信大家会更上一层楼了。感谢难寻 难的的 分析,谢谢。 xx谢谢楼主分享哈哈哈{:5_116:} 难的的 分析,谢谢。 感谢分享,学习一下 谢谢 你的分析{:5_116:} 我去试试看 感谢分享.. 看看谢谢分享