另类强壳E盾,被作者改了的E盾
本帖最后由 xiaosi 于 2017-11-4 12:55 编辑求大哥帮助啊,纯新手,看了好多教程了。{:6_224:}
E盾登陆的字符串全部查不到,就有一个E盾的官网地址,其他字符串全部不显示
1.软件打开,然后挂起进程,再用OD附加,
2.去到401000,软件的字符串都可以搜到,
(但关于E盾的字符串全部加密){:6_204:}
3.用特征码
55 8B EC 81 EC 1C 00 00 00
可以找到好多,我只改了一个,不行(难道这里是全部改?或者是还有搭配其他特征?){:6_195:}
改成了
mov eax,1
ret
4.非法特征
55 8B EC 81 EC 08 00 00 00 C7 45 FC 00 00 00 00
是直接段首retn?{:7_243:}
5.合法特征
55 8B EC81 EC 20 00 00 00 C7 45 FC 00 00 00 00
把全部找到的都ret?
改成了retn
6.运算
test ah,0x41
我是把找到的第一个跳转改成jmp到最后一个test ah,0x41的跳转地址
(特别大的跳转)
7.蓝屏,崩溃的特征码没搜索到
55 8B EC 81 EC 2C 00 00 00 C7 45 FC 00 00 00 00 68 0C 00 00 00
55 8B EC 81 EC 2C 00 00 00 C7 45 FC 00 00 00 00 68 0C 00 00 00
判断暗桩到期时间也没找到
83 C4 04 83 7D ?? 01 0F 8D
8.我自己又搜索push 60 ,把段首ret了
但补丁打好,还是账号密码错误
此软件打开会有两个窗口,一个是E盾的登陆窗,还有一个是未赞助的试用窗(窗口开始是隐藏的,但已经加载出来了)
把登陆窗关了,试用窗就自动显示出来了
求大哥教一下吧,实在被虐的不要不要了,特别是我补丁地址都找的差不多了,结果软件强制更新了{:6_224:}
软件链接:链接: https://pan.baidu.com/s/1bCGjdO 密码: zd3b
static/image/hrline/line3.png
我感觉软件有3个功能窗口,一个登陆窗口,试用窗口,正版窗口,窗口地址可以找到,但不知道怎么打补丁,补丁是软件加载出来以后才能打上去的,但是登陆窗口出来,在替换窗口也不行啊
这里窗口找出来,怎么打补丁呢? 一般的内存补丁是软件打开以后逆向,但这个要在软件未启动之前替换窗口啊
随便填写密码 账号 再点登陆登陆那个地方没改的话不要空着 736040552 发表于 2017-11-4 20:56
软件的授权功能在SE除非干掉 登录之后也没啥用
到底怎么搞啊 东少 发表于 2017-11-4 20:48
随便填写密码 账号 再点登陆登陆那个地方没改的话不要空着
啊要填东西?? 本帖最后由 东少 于 2017-11-4 22:44 编辑
逆向登陆:(至于怎么找到这几个地方的,论坛教程很多,自己下载学习吧)
第一处:
0044D9C1 B8 01000000 mov eax,0x1
0044D9C6 C2 1800 retn 0x18
0044D9C9 90 nop
第二处:
0040486F 8BE5 mov esp,ebp
00404871 5D pop ebp
00404872 C3 retn
00404873 90 nop
00404874 90 nop
00404875 90 nop
00404876 90 nop
00404877 90 nop
第三处:
004389B7 8BE5 mov esp,ebp
004389B9 5D pop ebp
004389BA C3 retn
004389BB 90 nop
004389BC 90 nop
004389BD 90 nop
004389BE 90 nop
004389BF 90 nop第四处:
0040AE01 C3 retn
----------------------------------------------------------------------------------------
以下是蓝屏插件检测出的地址:
0040CC66 C3 retn
004F9350 C3 retn
005201A5 C3 retn
005648E1 C3 retn
0056A852 C3 retn
0057D5E7 C3 retn
-----------------------------------------------------------
看了下所谓的授权,看图说话:
位置3和位置1的地址是相同的,也就是说这个地址可能存放是否授权的地方,经过一系类的测试,确定的确是存放是否授权的地方,经测试破掉登陆后,图中位置1代表的地址置1,授权功能也可使用,也就是说破掉登陆后授权限制功能也能用,虽然显示的是未授权。(由于对该软件不熟悉,仅测试了抢号功能),层主是个初入逆向的新手望大牛勿喷。。。。
好了补丁的话 楼主自己打吧!!!
求HB
file:///C:\Users\pu\AppData\Roaming\Tencent\Users\821959287\QQ\WinTemp\RichOle\EIG4}P(K1E4R4D_E3{FY0BD.png
逆向登陆:(至于怎么找到这几个地方的,论坛教程很多,自己下载学习吧!!)
第一处:
0044D9C1 B8 01000000 mov eax,0x1
0044D9C6 C2 1800 retn 0x18
0044D9C9 90 nop
第二处:
0040486F 8BE5 mov esp,ebp
00404871 5D pop ebp
00404872 C3 retn
00404873 90 nop
00404874 90 nop
00404875 90 nop
00404876 90 nop
00404877 90 nop
第三处:
004389B7 8BE5 mov esp,ebp
004389B9 5D pop ebp
004389BA C3 retn
004389BB 90 nop
004389BC 90 nop
004389BD 90 nop
004389BE 90 nop
004389BF 90 nop
第四处:
0040AE01 C3 retn
----------------------------------------------------------------------
以下是蓝屏插件检测出的地址:
0040CC66 C3 retn
004F9350 C3 retn
005201A5 C3 retn
005648E1 C3 retn
0056A852 C3 retn
0057D5E7 C3 retn
-------------------------------------------------------------------------
看了下软件所谓的授权限制功能,下面看图说话:
由于上两图中都出现了0xB540F0(即位置1和位置3),推断可能与是否授权有关,经过测试的确是这样的;在逆向掉登陆后0xB540F0存放的数由0变为1,授限制功能也可使用(由于对软件不熟悉,只测试抢号功能)。
层主只是初入逆向不久的新手望各位大牛勿喷!!!
求HB!!!
好像回复不能大篇幅,所以做了word,楼主自己看吧,后缀改成docx打开 东少 发表于 2017-11-4 23:13
好像回复不能大篇幅,所以做了word,楼主自己看吧,后缀改成docx打开
非常感谢,晚上回去看一下 东少 发表于 2017-11-4 23:13
好像回复不能大篇幅,所以做了word,楼主自己看吧,后缀改成docx打开
E盾特征码有变么怪不得之前很多E盾我用我的特征码 总是找不到
E盾
登录55 8B EC 81 EC 1C 00 00 00
改mov eax,1
retn
合法CALL:55 8B EC 81 EC 20 00 00 00 C7 45 FC 00 00 00 00
改retn
蓝屏:55 8B EC 81 EC 2C 00 00 00 C7 45 FC 00 00 00 00 68 0C 00 00 00
改
mov eax,0x0
mov ebp,esi
pop ebp
retn
结束自身:55 8B EC 81 EC 1C 00 00 00 68 60 00 00 00
更改内容:
retn
Ctrl+F搜索:sub esp,0xa8
更改内容:
leave
ret
或者
mov esp,ebp
pop ebp
ret
Ctrl+F搜索:sub esp,84
更改内容
mov eax,0
mov ebp,esp
pop ebp
ret
-------------------------
验证到期时间
75 FB FF E6
改
ret