网站 › 『=逆向图文=』 › 荒野行动注册宝从源码分析思路

30659653 发表于 2018-6-9 00:29

荒野行动注册宝从源码分析思路

本帖最后由 30659653 于 2018-6-9 11:40 编辑


大家好，我是竹子。今天用这个荒野行动FZ做一个注册宝的教程。

我会教大家从源头（源码）下手分析，一步一步拿下他。

首先打开FZ看一下，当直接点击登陆时参数错误，是失败的。经过查壳是VMP。那就打补丁吧。

OD载入，来到401000解码段搜索字符串

https://attach.52pojie.cn/forum/201806/08/213755v1v06fkf4ywy074k.png

找到了成功关键词“到期时间”，说明登陆成功，那就在这里下手
https://attach.52pojie.cn/forum/201806/08/213755pgx2grrp4gknmxoo.png

打开注册宝的源码看一下。找到“到期时间”
有一个判断失败会跳过“到期时间”然后跨过“到期时间”，jump到更下方的代码。
https://attach.52pojie.cn/forum/201806/08/213755gbc1gspt5z87gnt2.png

知道了源码，那就好办了，往上翻找到大跳转。
https://attach.52pojie.cn/forum/201806/08/213756oubqxx4adj7ukkqq.png

给他NOP，这样这个源码中的跳转加成功度过
https://attach.52pojie.cn/forum/201806/08/214525crccbx7izfp3sa77.png

我单步跟过发现403BE8不能跳过。这个需要亲手实验会明白。
所以把这个跳转也nop
https://attach.52pojie.cn/forum/201806/08/214525vlvmpaj72zafooa0.png


这个地方跳过了成功，给他NOP
https://attach.52pojie.cn/forum/201806/08/214525xjmww953uuyyy3nz.png

然后再向上翻就会看到一个大跳转，对应着如下源码中的关键判断处，很关键。给他nop
https://attach.52pojie.cn/forum/201806/08/214932nu5sl656me8tctty.png


最后附上成功后的图片。
https://attach.52pojie.cn/forum/201806/08/214932m7umu7lrg37fmm31.png
https://attach.52pojie.cn/forum/201806/08/215307b26ig4lauai46lzz.jpg
ok到此结束。细心看就会看懂，多去思考。谢谢各位的观看和学习。

查毒分析链接：
https://habo.qq.com/file/showdetail?pk=AD0GZ11vB2QIP1s4
正版和逆向成品都在以下链接了

**** Hidden Message *****

Fee11ng 发表于 2018-6-9 10:40

你们搞注册宝轻车熟路{:5_188:}

cqen502 发表于 2018-6-9 11:14

这可是好东西，找了很久了、哈哈哈

84994556 发表于 2018-6-9 11:35

荒野行动注册宝

30659653 发表于 2018-6-9 11:39

azure128255 发表于 2018-6-9 10:40
你们搞注册宝轻车熟路

不不不。重点是教会大家分析源码的思路

清风飘过 发表于 2018-6-9 12:17

轻车熟路的老司机啊

khuntoria 发表于 2018-6-9 13:10

感谢楼主分享

小柒 发表于 2018-6-9 20:14

不错，详细

转化者 发表于 2018-6-9 20:53

学习了，谢谢

莣孒嬡沵芣蓜 发表于 2018-6-9 23:36

我来脑补一下，参考一下

查看完整版本: 荒野行动注册宝从源码分析思路