网站 › 『=逆向图文=』 › 以为捏的是软柿子，实则为榴莲。记录豪迪群发2018.5.1版逆向过程

售野生奥特曼 发表于 2018-5-5 11:31

以为捏的是软柿子，实则为榴莲。记录豪迪群发2018.5.1版破解过程

本帖最后由 zcl0317 于 2018-5-6 00:07 编辑

{:5_118:}{:5_118:}最近看多了几个视频教程，开始飘了。开始找多人弄的软件捏了。此文简单记录下破豪迪群发2018.5.1版的过程。也当做个笔记吧。

未注册时，群发信息有小尾巴!。。。

简单分析下，决定先撸掉注册界面开始。
程序为Delphi编写，无壳。OD载入。。。

按钮事件走起!



0055261F|.E8 1883F2FF   call qqqf.0047A93C                     ;读出假码
0055264F|.83F8 0B       cmp eax,0xB                              ;判断假码位数
00552665|.8038 32       cmp byte ptr ds:,0x32               ;第一位是2
00552757|.E8 A01FEBFF   call qqqf.004046FC                     ;把机器码和假码串起来发网站验证
串连好的符串 "http://www.hd466.com/check.dll?id=0217628807&sn=021234567891")
网站返还的信息 "ER:注册码错误，请核对后重新填入！"


00552784|.BA CC2A5500   mov edx,qqqf.00552ACC                  ;ER
00552789|.E8 FA1FEBFF   call qqqf.00404788
0055278E|.75 25         jnz short qqqf.005527B5                  ;如果找到ER，则表示是错的。

分析后发现，这个CALL是把机器码和输入的假码串起来发送到服务器进行验证的。并没有突破点。


那就回溯一下，看上一个CALL有没有发现。

CTRL+F9后

经分析，此处有2处可跳过，但会报错的，无奈，只能继续往上找了。再回溯一层看看。

追了N层了，发现并没有突破口。好吧，做了个错误示范。咱重新开始!!!!{:5_188:}

把按钮事件断点删了，重新载入。查找字符串。查找图一的“注册”。

有发现。

005524F7|.E8 7084F2FF   call 复件_qqq.0047A96C
005524FC|.803D 04815900>cmp byte ptr ds:,0x0
00552503|.74 10         je short 复件_qqq.00552515


CALL ***
比较***
跳转***
简直不能太熟悉。
来吧，把JE改NOP看下。


难道!？？？？？？？？？？!!!!成功了吗？
燃鹅，并没有，主窗口没显示已注册字样，保存出来后，群发信息也还是有小尾巴的。

cmp byte ptr ds:,0x0
这是关键比较了？
有常量比较，试着找下，还有哪里也调用了。

Breakpoints
地址       模块       激活                     反汇编                              注释
00551F47   复件_qqq   始终                         mov byte ptr ds:,0x0
00551F4E   复件_qqq   始终                         cmp byte ptr ds:,0x0
00552064   复件_qqq   始终                         mov byte ptr ds:,0x0
0055225E   复件_qqq   始终                         mov byte ptr ds:,dl
005522A3   复件_qqq   始终                         mov byte ptr ds:,al
005522A8   复件_qqq   始终                         cmp byte ptr ds:,0x0
005524FC   复件_qqq   始终                         cmp byte ptr ds:,0x0

下断。重新载入。。。

差点点就是传说中的1字节爆破了。真可惜。。

保存，运行起来。什么情况？


看来并不是软柿子。还得继续捏。。。。。
重新载入。字符串找找





00551185   /E9 BC010000   jmp 复件_qqq.00551346
0055118A   |90            nop


这个就很好解决了。

燃鹅，就算提示注册成功了。点击发送群信息时

什么情况？不是已经注册成功了吗？

楼主撸到这里，已经隐隐感觉到捏上榴莲了。但为了面子，不能不继续啊。
MessageBoxA 断点--回溯2层后。此外改下。



什么鬼？手痛!，不是已经注册了吗？
小尾巴在向我示威呢。


找此处的爆破点很偶然。。。本来已经打算丢到最牛叉的OD里了的。


过程是这样的，找了下字符串。并没有发现有能用的关键字。
然后看了下群发的信息，小尾巴和我要发的内容隔了好几行。然后在之前找字符串时看到有/n字样。恩。这就是无意间发现的爆破点，也是写出此文记录的原因。

找字符串/r/n


找到的全下断。
经多次调试分析后，改了此处，群发好友没有小尾巴了。

/r/n找到的字符串断点不少。我没具体分析，不知其它功能是否还会有小尾巴。但用这个方法，估计也是能解决的。


附件解压密码：www.xuepojie.com


好了，解决小尾巴了。那么，你以为榴莲捏完了吗？
并没有。且看下图。



自定义文本可以发，没问题。
但如果要插入文件，插入图片，插入表情。都是显示成乱码的!!!

那么。。。欲知撸主如何徒手劈榴莲，且听下回讲解!!!

{:5_188:}
手劈榴莲下集：--->https://www.52hb.com/thread-37686-1-1.html

Shark恒 发表于 2018-5-5 16:48

思路很灵活，赞~

syzh802618 发表于 2018-5-5 17:44

感谢楼主分享

Pit丶妖 发表于 2018-5-5 18:06

感谢楼主表演了一波手劈榴莲

892644330 发表于 2018-5-5 20:26

有点意思写起来像个幽默故事

576727754 发表于 2018-5-5 21:18

看看学习一下·

TZEEUQ 发表于 2018-5-5 22:02

楼主，这个回复乱码是它的一个自校验，可以从原版哪里复制正确信息放在逆向版本上哈

ll988600 发表于 2018-5-5 22:30

感谢楼主分享

yjmchem 发表于 2018-5-5 22:51

菜鸟一枚边看边学

abellixun 发表于 2018-5-7 12:59

哦哟~来学习榴莲了

查看完整版本: 以为捏的是软柿子，实则为榴莲。记录豪迪群发2018.5.1版逆向过程