易游验证,字符串好像加密了,有蓝屏和关机暗桩,获取不到key
抱歉,HB不是很多,这款FZ软件是我无意中发现的,下bp send断点,PCHunter关闭一些计时器(不关闭计时器直接调试蓝屏了一次),然后点击登录运行,可以找到如下的信息:0018FB38|021DFBE8ASCII "UserName=1111111111111&UserPwd=111111111111111111&Version=8.8&Mac="
0018FB3C|004FDEBDASCII "http://w.eydata.net/05058ca0d836ced79f"
可以看到,易游的软件版本号是8.8,尝试继续往下搜索,出现了一些字符串,类似:
0018F618|04A7FBF0ASCII "POST /05058ca0d836ced79f HTTP/1.1\r\nAccept: */*\r\nContent-Type: application/x-www-form-
urlencoded\r\nUse"
0018F650|04A9B570ASCII "lYuw://w.eyd"
0018F928|049D0D10ASCII "http://w.eydata.net/05058ca0d836ced79f"
0018FA1C|049CAD10ASCII "Accept: */*\r\nContent-Type: application/x-www-form-urlencoded"
看红色地方,可以判断是易游的网络验证,开始有点兴奋,因为前段时间正巧学习了易游的逆向(但是也有点郁闷,因为bp send后并未出现明文的密钥)
没有出现明文的密钥或者可疑的字符串,倒是出现了 POST Accept 这些字符串,这是我头一次遇到,不知道啥功能
======================
然后,就尝试逆向吧,首先用到HOOK API的方法,HOOK了易游的下面三个API:
登录。long UserLogin(UserName,UserPwd,Version,UserMac)
开启心跳。long OpenUserCheck()
取到期时间。string GetUserExpired()
用注入工具注入,提示注入成功(之前成功注入过其他易游程序),但是点击登录,并没有出现想象的结果,而是提示用户名不存在,看来注入不行啦。
接着,尝试搜索定位 DispCallFunc,下面出现了 call ecx ,下断点,点击登录,结果直接就不拦截了,出现登陆失败
看来,得搜索内存数据了(尝试过401000然后搜索字符串,没可供参考的信息),OD附加程序,搜索 .ini 和 Z10 (不知道这两项搜索对了没,最近学习验证想到的就这两个),搜索到的结果类似:
http://w.eydata.net/05058ca0d836ced79f
并未发现密钥和版本号,
=====================================
我的逆向之路就此终止了,吾爱汇编论坛是个高手潜伏的论坛,希望大家帮忙看看,不知道是我复杂化了,问题没想象的那么复杂。
附带程序:
http://pan.baidu.com/s/1midXeo4
大牛们别嫌弃我菜哦!
{:5_116:}
本帖最后由 锐雯比媳妇重要 于 2017-5-25 10:56 编辑
易游WebApi
自己在OD里查看它每一步调用的地址是什么吧
例如这个登录
锐雯比媳妇重要 发表于 2017-5-25 10:54
易游WebApi
自己在OD里查看它每一步调用的地址是什么吧
例如这个登录
好的谢谢 头一次遇见WEBAPI 这是啥玩意{:5_188:}
这个应该可以山寨 把地址替换掉跟之前替换key一个道理 Eason-伊森 发表于 2017-5-25 17:39
这是啥玩意
谢谢提供思路 这两天在弄VC++ 有时间会看的 易游的WEBAPI出来都多久了,去年就玩过,现在竟然还有人说是加密的{:6_221:}这么明显的网址像是加密的吗 yhw5231 发表于 2017-5-26 15:54
易游的WEBAPI出来都多久了,去年就玩过,现在竟然还有人说是加密的这么明显的网址像是加密的吗
恩 我以为字符串加密 前几天刚接触 锐雯比媳妇重要 发表于 2017-5-25 10:54
易游WebApi
自己在OD里查看它每一步调用的地址是什么吧
例如这个登录
程序一进去就有个程序密钥,改了登录地址不能用吧应该 Eason-伊森 发表于 2017-5-25 17:39
这是啥玩意
{:5_188:}表示不爽 明显抢我装逼
页:
[1]
2