用条件断点寻找E盾的登录、合法、算法和取服务器数据CALL
本帖最后由 sxdx1372 于 2018-7-17 22:42 编辑先科普一下一个API函数HeapAlloc,在指定的堆上分配内存
所以登录、合法、算法或取服务器数据CALL里面都要经过这里
FF25:
FF25的跳转到的地方
因此我们在FF25那里(图中选中的那一行)下条件断点(OD里条件断点是粉色的)
设置条件断点的方法:在要设置条件断点的地址 Shift+F2 或者 右键→断点→条件
下面具体说下怎么来写这个条件断点,进入正题
登录:
先分析登录CALL汇编代码
0041461F push ebp
00414620 mov ebp,esp
00414622 sub esp,0x144
00414628 mov dword ptr ss:,0x0
0041462F mov dword ptr ss:,0x0
00414636 mov dword ptr ss:,0x0
0041463D mov dword ptr ss:,0x0
00414644 mov dword ptr ss:,0x0
0041464B mov dword ptr ss:,0x0
00414652 mov dword ptr ss:,0x0
00414659 mov dword ptr ss:,0x0
00414660 mov dword ptr ss:,0x0
00414667 push 0x20 这里占用一个地址(4字节)的堆栈空间
0041466C call 0045BD2E 这个CALL就是上面说的内存分配CALL
00414671 add esp,0x4 这里 ESP+4 是还原到原来的144个堆栈空间
我们以前找的特征码主要是这2个,一个是sub esp,0x144;另外一个是push 0x20
所以我们就对这2个特征设置条件断点,下面对条件断点构造进行分析
**** Hidden Message *****
目测会火占个一楼{:6_225:} 谢谢大哥哥分享 支持 感谢楼主的分享 感谢楼主分享 逆向路上感谢有大佬分享教程 看看学习一下·· 3某 发表于 2018-7-17 18:09
谢谢大哥哥分享
没看到谁找我要啊,其实我想要你的OD。。{:6_198:} 厉害了,小哥哥!! 感谢分享这么好的教程!