a893942064 发表于 2018-3-24 11:15

小白这两天学习E盾一些问题 请大神解答

{:5_187:} 首先论坛里的大部分E盾逆向 全是特征码有的是 push 60push 84之类的

小白是一脸懵逼 他们怎么知道这些特征码的   还有就是 登录那里 为什么 mov eax,1   retn 10 有的是 retn 18

怎么判断 登录就是这里(一般特征码会搜到好几个)

如果不按特征码 该怎么逆向呢?E-debug 能找到按钮事件的那种

到按钮事件下断 往下F8 经过几个JMP 到一个call 再F8就弹账号不存在之类下断进call然后有是一堆JMP 又来个call进这个call之后 好像是循环。

顺便找个师父 _(:з」∠)_   小白学起来一脸懵逼恒大教程 看的差不多了。

李少pojie 发表于 2018-3-24 11:41

下载一个源码就知道特征码是在哪里了。我也是根据以前别人发的教程参考的特征,push60 其实是一个暗转。特征码就有。只是为了方便,push 84 是一个合法call   登录call   mov eax,1 ret 10 和18 其实都是一样。只是给他赋值。这是只是我的理解,

感冒的猪baby 发表于 2018-3-24 12:53

这个是用无壳无加密的e顿来找到的,无壳的找字符串,逆向,找到关键call赋值,那是关键call的特征码

冷丝 发表于 2018-3-24 15:47

a893942064 发表于 2018-3-24 15:47

感冒的猪baby 发表于 2018-3-24 12:53
这个是用无壳无加密的e顿来找到的,无壳的找字符串,逆向,找到关键call赋值,那是关键call的特征码

_(:з」∠)_ 那有壳的登录 特征码也不一样返回值 有的是 retn 10有的是retn 18怎么判断

感冒的猪baby 发表于 2018-3-24 16:20

a893942064 发表于 2018-3-24 15:47
_(:з」∠)_ 那有壳的登录 特征码也不一样返回值 有的是 retn 10有的是retn 18怎么判断

关键call是不会被vm的,还有call的头部和尾部不会vm,rent多少,断尾看一下啊

影风 发表于 2018-3-25 14:41

指正:头部和尾部可以V 而且可以全V,特征码在全V的网络验证中没有卵用
页: [1]
查看完整版本: 小白这两天学习E盾一些问题 请各位老师解答