飘零4.0客户端爆破分析
新手刚学,对于飘零4.0客户端的爆破分析,大神勿喷,谢谢大家,步骤如下:首先运行飘零4.0客户端,然后用XueTr去掉飘零的时钟验证,打开XueTr找到飘零4.0客户端进程,右键->查找->查找进程定时器,打开进程定时器窗口,
在选中右键删除里面的所有进程,最后把XueTr软件最小化,如下图
接下来打开OD,附加已经运行的飘零4.0客户端进程,因为飘零4.0有退出暗桩,所以先下BP ExitProcess断点,然后F9运行程序 ,程序停在退出进程之前,如下图
然后来到堆栈窗口,选中下图中的那行,如下图
右键反汇编窗口中跟随,来到反汇编窗口中,选中那个call,然后按enter键进入call内部,在段首按下空格键把代码改为retn,选中修改的代码行,保存文件,如下图
到这步位置退出暗桩已经去除了,接下来关闭OD,重新运行我们修改后的飘零4.0客户端,然后用XueTr去掉飘零的时钟验证,在打开OD,附加已经运行的飘零4.0客户端进程
然后来到401000处,如下图
然后右键查找二进制字符串FF 55 FC 5F 5E(易语言的按钮事件),然后到这位置按F2下断,在查找下一个,在按F2下断,然后F9运行程序,输入用户名,密码都随意,按下登录按钮,这是
返回OD断在了按钮事件call的位置,如下图
F7进call,然后F8单步往下走,来到这个位置把je跳转改成jmp,如下图
继续F8往下走,来到这个位置把je跳转改为jmp,如下图
继续F8向下走,来到如下call的位置,此时观察堆栈窗口,鼠标在堆栈窗口中选中这行,如下图
在这行右键反汇编窗口中跟随,来到反汇编窗口,鼠标选中这个call,这就是登录回调call,如下图
然后在这行按enter键跟随进call,向下找,鼠标选中jmp这个跳转,然后按enter键跟随,如下图
继续向下找,找到一个大跳转,直接nop掉,如下图
继续向下找,又找到一个大跳转,同样直接nop掉,如下图
继续向下找,就可以找到窗口1了,如下图
继续向下找,窗口1下面跟着的有个跳转,直接nop掉,如下图
然后保存所有修改,至此飘零4.0客户端已经爆破成功,如下图
感谢楼主分享
学习了 好贴,好好学习吧 感谢分享,论坛有你更精彩 简单却充满爱!感谢您的作品 很详细的教程,谢谢了 我最近也是刚在看这个,建议楼主下次做类似的教程的时候,把对应的文件放百度网盘,方便大家一起学习。{:5_116:}加油 过林黑马 发表于 2019-3-7 16:51
我最近也是刚在看这个,建议楼主下次做类似的教程的时候,把对应的文件放百度网盘,方便大家一起学习。{:5_ ...
好的,谢谢你的建议 学学学练习练习练习,实在太难了 谢谢分享{:5_116:}