网站 › 『=悬赏求助=』 › 2017666大佬来领取HB

Leisure 发表于 2017-7-31 17:05

2017666大佬来领取HB

就这些了大佬。。。扣税扣了我小100.。。总共才400@2017666

2017666 发表于 2017-7-31 17:05

其实也简单软件是用一个exe注入到另外一个exe另外一个exe内还有挂载dll文件

给你一个逆向分析思路， 既然他挂载了，那么当你破掉主程序他就要载入新的exe跟od就没有关系了 所以这时候就会自然中断

你可以先把主程序破掉楼主这个应该没问题吧。。他主程序也没有高级vp效验 破掉以后先运行软件，然后再用od挂链， 这时候你看字符串就会看到一片新天地

然后还是用秒杀可可的方法易语言文本比较 retn处下断看堆栈返回，第一次修改为1 第二次还是修改为1--第三-第4次返回跟到段首 retn

这时候就搞定了 ，限于本人的技术也有限 编程一窍不通，什么这些api ，hook真是没学到家所以， ps--补丁不会打{:6_219:}哈哈{:6_211:}这里的补丁是个技术活，存在一个打补丁的时机 你再去找找大牛吧 我把数据丢给你，话说我说了这么多 还得你自己去实践一下

因为我也学了不久~ 更谈不上什么大佬互相学习{:6_211:}

012E4370
C3
012AE5B5
C3
012C5BB1
C3
012ADFDE
E991061F0090
0149E674
B80100000083C40883F800E95FF9E0FF
012A9EC3
E9BE471F00909090
0149E686
C70039CCEC39C74004D0A1CABC7400839B7D63C7400CC3EB0048945F0
0149E6A4
6804000080E91CB8E0FF
这组数据该补码的地方我全补了 包括到期时间什么的 ，其他就自行研究吧哪里不懂继续留言{:6_220:}

Leisure 发表于 2017-7-31 19:14

2017666 发表于 2017-7-31 17:05
其实也简单软件是用一个exe注入到另外一个exe另外一个exe内还有挂载dll文件

给你一个逆向分析思路， 既然 ...

大佬我大概找到了那个 助手.c才是主体，但是不是特别懂您说的OD挂链，是怎么挂的啊？主程序的确是运行到登陆之后退出了，进入到下一个程序，但是我看了一下应该是把助手.c注入到盒子进程里面了，所以我附加到盒子进程还是什么都读取不到的，我直接载入了助手.c这个文件，见到了程序的很多字符串，但是这样就不知道应该逆向哪里了，这个文件应该是一个DLL文件吧

Leisure 发表于 2017-7-31 23:02

2017666 发表于 2017-7-31 17:05
其实也简单软件是用一个exe注入到另外一个exe另外一个exe内还有挂载dll文件

给你一个逆向分析思路， 既然 ...

大佬，我研究了一晚上还是不行，这样来说主程序PJ了之后直接进入程序2，但是在程序2根本找不到断，在虚拟机里面的确是出来个窗口，用OD附加也查找不到关键数据，查找了一下释放的文件找到了在C盘里面的”助手.c“文件，载入OD发现程序2里注入的DLL就是这个DLL，但是我在这个DLL文件里面同样的找不到关键数据，使用易语言文本特征码下断之后发现第一次第二次赋值1，第三第四次断首retn程序直接崩溃了，请求大佬详细指点指点{:6_224:}

2017666 发表于 2017-8-1 12:55

Leisure 发表于 2017-7-31 23:02
大佬，我研究了一晚上还是不行，这样来说主程序PJ了之后直接进入程序2，但是在程序2根本找不到断，在虚 ...


挂链简称od附加就是在虚拟机内调试弹出 驱动加载错误，点确定就会关闭，这时候你打开od先附加，然后再搜索字符串

你说的.c这个程序我没看载入od你看下地址 是否和我给你补丁一样如果是一样的话 你可以尝试修改我给你的补丁地址

还有我说的易语言文本比较 第三次 -4此返回是 从retn处跟出去 在继续跟出下一个ret 然后在这个段首结束就可以我调试的时候并没有出现你说的那种情况

我想应该是你操作的问题{:6_202:}    最后再说下 如果你实在找不到办法用我给你的数据在od里手动改一下

Leisure 发表于 2017-8-1 14:28

2017666 发表于 2017-7-31 17:05
其实也简单软件是用一个exe注入到另外一个exe另外一个exe内还有挂载dll文件

给你一个逆向分析思路， 既然 ...

大佬能不能把你关于这个程序的UDD上传一份啊，我研究研究，思路的确是这样，但是我老是卡在第二次的验证上。。。。

Leisure 发表于 2017-8-1 21:17

本帖最后由 Leisure 于 2017-8-1 21:42 编辑

2017666 发表于 2017-8-1 12:55
挂链简称od附加就是在虚拟机内调试弹出 驱动加载错误，点确定就会关闭，这时候你打开od先附加，然 ...
主程序很好逆向，然后到出现窗口“错误”的时候用OD附加，进入到10001000就是DLL的入口点，然后搜索字符串发现新世界，可是后面的怎么走啊？真是抱歉需要你一步一步教导了现在是程序已经出现提示框了，点了确定就退出，这个怎么过的？真是麻烦您了！

2017666 发表于 2017-8-2 08:15

{:6_211:}这程序之前开影子破的早无影踪了。。。

这么给你说吧 附加完之后   点击驱动加载错误就会退出先在ff25处找到退出 然后ret

再然后就是给你说的秒杀可可的方法 https://www.52hb.com/thread-33533-1-1.html 可参考这篇帖子

只不过他这个头一次是eno返回1二次返回eno300 所以还是楼上给你说的ret就行 最后他也就是验证的4步

第一步程序直接结束第二步返回高级vrp用户验证未通过第三步账号不存在 ，第4步也是程序直接结束

第三步-4步需要先找到段首ret

012E4370
C3
012AE5B5
C3
012C5BB1
C3

也就是这三个段一个退出 剩余两个即是 返回3-4步的验证{:6_212:}

这么说你要是还不懂 建议你去学基础吧{:6_214:}

查看完整版本: 2017666大佬来领取HB