关于SE壳的网络验证
程序应该是SE壳的,不能100%确定。具体版本不太清楚。网络验证搜索到的是飘零商业版3.5。
55 8B EC 81 EC 18 00 00 00 C7 45 FC 00 00 00 00 C7 45 F8 00 00 00 00 C7 45 F4 00 00 00 00
飘零2.8的命令序列也搜索到了。push ebp
mov ebp,esp
sub esp,0x38
mov dword ptr ss:,0x0
mov dword ptr ss:,0x0
mov dword ptr ss:,0x0
mov dword ptr ss:,0x0
所以具体的飘零版本我也没弄明白。
按照恒大的教程,搜索.asp好几十个,找完了也没看到传输密码,个人觉得应该是被VM了。
山寨的方法找不到传输密码,行不通。求大大帮忙看下怎么才能找到传输密码。
结合特征码修改的方式win7系统下导致程序出错。
尝试爆破的方法,找不到关键call,字符串也没有可用信息。运行软件后也找不到可用的信息。 找到了登陆验证地址
7569DBCD 8BFF mov edi,edi
用工具包里的软件,要不就是软件出错。要不就是程序出错,山寨,爆破,好吧,渗透我也想到了。可惜太难。
调试了许久,总结出以下观点:
1.程序会破坏OD,OD调试次数多了以后,打开OD直接卡系统,系统进入假死状态,只有重启。
2.程序会注销系统,不是使用的cmd,貌似是结束了系统的关键服务。这个没办法截图,请见谅。
3.程序调用了懒人模块,还有程序会进入 tp://ptlogin2.qq.com/这个网站,后面是自己的QQ号。不清楚什么作用,还会进入太平洋ip网站,截取使用用户的ip地址,发送到后台。这个程序的后台是一个FZ网站http://www.qq1171.com/vip/ck_fuck.php这个是程序指向地址,去掉后缀就是一个网站。
4.还有一些无关紧要的就略过了。
我的问题是:这个程序不脱壳有没有办法逆向或者山寨呢?希望大大可以给一点思路或者建议。这个程序VM的东西有点多,好多东西我都找不到。论坛里的教程里讲的东西几乎都被VM了。额......说不定是我笨,找不到也有可能。
求大大帮忙,怎么样才可以定位暗装的地址,上次的VMP壳的程序也是有暗装所以程序还是现实错误。希望大大可以给新手一点建议,怎么才可以准确的找到暗装?,我感觉有一个笨方法就是一步一步的跟。但这个SE壳的跟下去就是程序错误,其实总的来说我就是求大大帮忙看一下这个暗装是怎么回事。如果蓝屏的话,我饿电脑怎么一点反应都没有?除了程序错误,没有其他的什么提示。也判断不出来。
链接: http://pan.baidu.com/s/1pJNXhQN 密码: aiur
这个是程序的链接,貌似还是和上次一样是穿越火线的FZ。我就是在那个网站下载的,本想找一个简单的网络验证练练手。没想到网络验证简单。程序不简单。问大大一个问题,是不是XP调试才可以了解程序的暗装是什么?win7的系统只有错误提示,这个是不是不利于找到暗装呢?
这根本不是飘零吧 - -貌似80验证
{:5_191:}封包地址写的是这个东西,80V1.3 BY:Blruce,可能不是飘零的吧
阿菜 发表于 2014-12-16 00:56
封包地址写的是这个东西,80V1.3 BY:Blruce,可能不是飘零的吧
请问下,该是什么呢? 用飘零的特征码搜索到了地址,这个是怎么回事。我看着界面也不太像。
扫地僧 发表于 2014-12-16 01:43
这明显就是八零的验证呀
八零是什么验证????{:6_220:}
进过我一晚上的奋斗,终于这个程序告破。 。
1003770559 发表于 2014-12-16 04:25
进过我一晚上的奋斗,终于这个程序告破。 。
补充一句,这个程序貌似不是飘零。像极了八零验证。不过八零验证的分析方法还是没有起效。我是用的帮里分析方法,具体成功与否。待我叫我朋友帮我测试下。
SE壳这个倒是对的,但是用飘零的特征码搜到了,也不奇怪,因为程序都不能百分百保证自己的代码是不同的、、
额.......,求大大再次帮忙看一下。重启电脑后补丁不起作用了,应该是动态基质。这个应该怎么打补丁呢?
你知道在哪补丁的吧,试试论坛这位大牛里面的方法
https://www.52hb.com/forum.php?mod=viewthread&tid=3048&highlight=%D3%C0%BE%C3%C6%C6%BD%E2
好像就是特征码补丁,里面有易语言源码
页:
[1]
2