网站 › 『=悬赏求助=』 › 一款E盾加密，我已经研究了很久了，最近注册都是查看所有关于E盾的帖子，还是没收获

zhangsanfeng 发表于 2018-11-4 13:55

一款E盾加密，我已经研究了很久了，最近注册都是查看所有关于E盾的帖子，还是没收获

本帖最后由 zhangsanfeng 于 2018-11-4 14:08 编辑

特地充值了Hb来求悬赏，希望大神们帮助答疑解惑。
https://pan.baidu.com/s/1daUxu3k6dEBCEwWNTHNnzw
这是软件下载地址，某游戏FZ，E盾加密。
查壳后是UPX，脱壳机就脱了，这里就不上图了。
E盾的思路。
找登陆，查中文字符串，发现并没有可用的字符串诸如“卡密错误”没填入卡密怎么登陆“之类的提示。
或者EB1056等特征字符串

如下图

虽有多少天后到期，登陆成功等，分析后发现并不靠谱，或者个人分析错误。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
遂改变思路，换查找特征码

sub esp,144



结果是无。。。
其余特征码不再一一表述。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
再改变思路

找登陆
mov dword ptr ss:,0x0
mov dword ptr ss:,0x0
mov dword ptr ss:,0x0
mov dword ptr ss:,0x0
mov dword ptr ss:,0x0
mov dword ptr ss:,0x0
mov dword ptr ss:,0x0
mov dword ptr ss:,0x0
mov dword ptr ss:,0x0
push 0x20

命中后筛选出一处

。
改
mov eax,0x1
00402756    C2 1800         retn 0x18
这里奇怪的地方是我找不到段尾，通过转到下个函数过程看上面，整好是retn 0x18

遂改之。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
mov dword ptr ss:,0x0
mov dword ptr ss:,0x0
mov dword ptr ss:,0x0
mov dword ptr ss:,0x0
mov dword ptr ss:,0x0
mov dword ptr ss:,0x0
push 0x8
命中筛选出一处

同样

mov eax,0x0 （这里也尝试过将eax赋值再空代码处编辑的999999）
00412F4A    8BEC            mov ebp,esp
00412F4C    5D            pop ebp
00412F4D    C3            retn（这里同样找不到段尾，如上通过转到下个函数过程看上面，是retn 0x4，因此retn和retn 4都尝试过）
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
完成后保存，一会儿软件自动退出。

通过火绒剑查看软件行为，发现send后因为未受到服务器反馈消息，自动退出（该软件服务器已挂）。怀疑前面的登陆和合法都找错了。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
再换思路动态调试。
F9运行，直接已终止。

关于检测OD，特征码和字符串都无相关提示。
ＳＵＢ，ＥＳＰ，４４
ＳＵＢ，ＥＳＰ，６８
虽然能搜到，明显也不正确。
换冷小黑E盾过检测。OD直接不能正常载入该软件。
上虚拟机运行XP，软件能正常载入，F9直接卡死。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

至此所有思路都尝试过了，下时钟断点能断下，分析不出来。


特地充值HB寻求帮助，主要是思路。感谢大家了

飙车王 发表于 2018-11-4 14:26

这是E企 放弃吧

oawxx 发表于 2018-11-4 14:35

看了一下，应该是UPX+VMP+E企。建议楼主直接放弃。{:5_188:}

1234567 发表于 2018-11-4 16:35

回收站吧
这个搞不定的

ale666 发表于 2018-11-4 19:57

158是E企= =最强od你值得拥有

Cloud 发表于 2018-11-4 20:01

100 送你个最强OD 丢入即可逆向

cuizhixin009 发表于 2018-11-4 20:23

我擦 你这软件有毒吧 我下载两次 运行就关机了 两都关机了

【By】岁月无痕 发表于 2018-11-4 20:48

这个是DNF的脚本FZ叫牛头怪吧，E盾企业定制版

W_H_I 发表于 2018-11-5 11:41

回收站OD处理！UPX加壳，进去VMP加壳，然后最关键的是E企

yaozi520be 发表于 2018-11-7 02:32

E企,玩得动的手指可以数出来{:5_121:}

查看完整版本: 一款E盾加密，我已经研究了很久了，最近注册都是查看所有关于E盾的帖子，还是没收获