一款DXF辅Z求助。
本帖最后由 1191754351 于 2017-8-1 05:26 编辑刚刚在逆向一款DXF的FZ。
起初没看说明,一股脑的去折腾白鸽
登录CALL→合法CALL→结束自身→蓝屏ret
然后保存出来,点登录都没有反映,就是停在登录那里,没有一点反映。
然后再次去确认,发现有一个算法js还有一个算法的字符串。
跟过去后也没有什么特别的突破。
首先就是查壳。这一步我就不上图了,4个文件查壳工具都没有查到,但是都有加壳。
首先如图:
4个文件,我看了看他的使用说明。
初步断定是白鸽.exe是第一次验证,然后把我输入的帐号密码记录并且放到C盘保存起来。
然后它的那个LM.exe是一个注入的,把log.dll、Work.dll注入游戏。
然后我仍到OD看了一下,Work.dll是还有一次验证的,也是E盾!如下图
看了上图,我觉得那个白鸽第一次验证是没有什么卵用的。
然后试着直接打开游戏后直接试试使用LM注入,反正它那个功能DLL还有验证,只是为了证实我的想法。
然后结果没有半毛钱反映。
然后想着着手那个功能DLL后自己使用注入器试着自己注入。
然后绝望的发现Work.dll有着壳,而且都打在关键的地方。
不过有趣的地方是它和白鸽一样有着算法js和算法的字符串。
现在已经没有任何思路,不知道在那里着手。
!!!请大家给思路,最好是教程,因为我入逆向也没多久,很多你们的说法我完全听不懂。
刚刚注册的没有什么HB,所以悬赏也不是很高。
望大牛不要介意。
附件链接:http://pan.baidu.com/s/1c27xojQ
2017年8月1日 05:22:45
经过差不多一个晚上的研究。
现在软件端我已经可以PJ了。
但是现在就是说那个功能dll也就是Work.dll还无从下手。
下面是软件逆向成功图
真心!!!请大家给一个逆向dll的思路。
想了一个晚上,脑子都要糊了。
1191754351 发表于 2017-8-1 10:40
那么问题来了,它那个时间暗装在哪里?赋值给他?像可可验证一样补时间数据?dll改登陆平衡就行?我记得 ...
时间暗装在字符串里的天分秒里,你单步走就能看到寄存器EAX为0赋值为1就行了,dll里用原版的OD就能看到字符串,找不到的话用登陆特征码定位{:5_116:} {:5_188:}你这样子 容易被禁贴的 洛洛洛天依 发表于 2017-8-1 00:12
你这样子 容易被禁贴的
不然我帖子怎么说?难道我把我逆向的所有经过全部贴出来?累不累,稍微说一下我的逆向经过还有逆向时候的一些思路就可以了,我是这么觉得。那位大佬看到我思路错误的话可以指点一下。 这样PJ了吗?
ghjnb 发表于 2017-8-1 02:06
这样PJ了吗?
是不是还要补时间数据?时间暗装我也没有找到。
怎么说呢,我觉得现在只是PJ了一半,因为那个DLL还有一重验证的。
注入游戏也是会说帐号密码错误。
这里求指导一下。 主程序里确实有时间暗装,你给他时间赋值就行了,还有就是Work.dll里可以直接改登录平衡保存下来的 1191754351 发表于 2017-8-1 02:43
是不是还要补时间数据?时间暗装我也没有找到。
怎么说呢,我觉得现在只是PJ了一半,因为那个DLL还有 ...
这种爆破很简单。Dll有验证直接修改或者打补丁。我电脑没有装这个游戏所以无法测试DLL。这FZ很稳定吗。我朋友喜欢玩DNF他网盘进去的密码是多少我找个时间去网吧把新版本逆向给我朋友玩玩 大东华丶 发表于 2017-8-1 10:00
主程序里确实有时间暗装,你给他时间赋值就行了,还有就是Work.dll里可以直接改登录平衡保存下来的
那么问题来了,它那个时间暗装在哪里?赋值给他?像可可验证一样补时间数据?dll改登陆平衡就行?我记得没错的话,dll智能搜索没有字符串的,然后phsh 20哪里也没有本地调用,我应该怎么找?求个文图教程,HB不够的话后续有了直接开贴补上。 ghjnb 发表于 2017-8-1 10:17
这种爆破很简单。Dll有验证直接修改或者打补丁。我电脑没有装这个游戏所以无法测试DLL。这FZ很稳定吗。 ...
怎么说呢?我现在就是找不到关键点,这不是分有软件端还有dll么?到现在我还没找到软件端的时间赋值在哪。dll楼上说直接改登录平衡就好。这东西一加壳我就蒙了,稍微VM一点我可能都看不出来了