网站 › 『=悬赏求助=』 › 帮忙看看笑郭验证

mjy小宇 发表于 2018-1-7 22:36

帮忙看看笑郭验证

遇到一款笑郭FZ 哥哥们帮我看看为啥吧，是不是没处理干净{:5_191:}

按照论坛的某个大神发布的特征码进行逆向

此处验证 已经retn掉{:5_123:}


此处暗桩，retn掉{:5_193:}


然后打上补丁{:5_187:}，登陆成功后等待了几秒钟，出现这个然后自动退出,


！！！请大家讲解一下什么问题，最好做个教程参考学习一下，谢谢哥哥们，。{:5_188:}

FZ地址以及自己打的补丁：https://pan.lanzou.com/i0ccntg

294746443 发表于 2018-1-8 03:20

秒封号的鬼东西。。。
{:5_117:}

294746443 发表于 2018-1-8 03:23

00461EA3   /EB 2C         jmp   short 00461ED1
00461EA5   |90            nop
00461EA6   |90            nop
00461EA7   |90            nop
00461EA8   |90            nop



004621A0   /EB 2C         jmp   short 004621CE
004621A2   |90            nop
004621A3   |90            nop
004621A4   |90            nop
004621A5   |90            nop



004532E0    C3            retn




0044F06A    C3            retn
还有几处暗桩没弄，自己去找把，搜索字符串有很多暗装滴，这FZ逆向会触发srv病毒的暗装比较恶心的一种

294746443 发表于 2018-1-8 03:24

修改的地方挺多还有案桩没找到。
00461EA3   /EB 2C         jmp   short 00461ED1
00461EA5   |90            nop
00461EA6   |90            nop
00461EA7   |90            nop
00461EA8   |90            nop



004621A0   /EB 2C         jmp   short 004621CE
004621A2   |90            nop
004621A3   |90            nop
004621A4   |90            nop
004621A5   |90            nop



004532E0    C3            retn




0044F06A    C3            retn

独鲨 发表于 2018-1-8 21:44

下退出断点就可以找到暗装

亿万少女的梦 发表于 2018-1-8 22:05

这是他的最后一处检测 自己慢慢分析下找到ret就好了

294746443 发表于 2018-1-8 22:51

亿万少女的梦 发表于 2018-1-8 22:05
这是他的最后一处检测 自己慢慢分析下找到ret就好了

大大给点提示和楼上那个大牛说的一样么？下个退出断点，不过这挂逆向后他会直接释放SRV病毒

294746443 发表于 2018-1-8 22:52

额所以我都不想碰了

mjy小宇 发表于 2018-1-10 18:51

哈哈，笑郭还真是不好破

xu83995777 发表于 2018-1-10 20:41

笑郭的验证 现在这么难折腾么? 网上的资源也都是老版本的! 也没补丁啥的!

查看完整版本: 帮忙看看笑郭验证