VMP+未知网络验证易语言辅Z求PJ
本帖最后由 yideisiwa 于 2020-3-1 01:32 编辑最近被疫情关了,重拾游戏,发现没FZ玩起来太累,开始进入逆向这个世界。萌新一个,看了一些帖子,感觉吾爱汇编贴吧大佬们都很亲切,遂充值求指导。
查壳是VMP 3.3.1,这个游戏的脚本一般都是用大漠插件,应该是易语言写的。软件在这里:https://www.lanzouw.com/i9qbvda
哈勃查毒地址如下:https://habo.qq.com/file/showdetail?pk=ADcGZF1qB2MIPls9U2A%3D
利用过FF25追易语言特征,发现了易语言很多jmp的特征,我尝试了一些方法。1.push大法+按钮:(1)查找push 0x10001追push的窗口,找到所有push的窗口。尝试了push大法直接修改第一个push的窗口为真正界面,失败,提示窗口未加载或者需要序列号。(2)搜索易语言按钮事件。先转到0400010,根据易语言按钮事件特征码“FF 55 FC 5F 5E”搜索,未找到,是不是被VM了?根据白嫖怪大大的一个回复:易语言是调用MFC实现的,搜索MFC特征码-“FF 55 14 EB 7F FF 75 0C”,下断点,点击按钮触发按钮事件,F7跟进去,之后跟到按钮点击事件程序入口:006B4280。之后就不知道怎么跟到具体对应的按钮事件了(感觉是VMP的一堆垃圾代码)。
2.堆栈法:登录弹出错误提示框,暂停,查调用栈,找到第一个用户代码调用,回溯。打断点,回溯,查堆栈,跳转到返回点,打断点,重新执行。然后回溯的多了就懵逼了……
3. 网络验证: 不知道怎么判断FZ用的什么网络验证,所以不知道具体应用哪种山寨,大佬们都是怎么知道的?用抓包软件捕捉到的都是乱码,大大们都是怎么解码的呢? 代码载入直接搜字符串,可以看到一些字符串和code码的对应关系,不知道是不是自己搭建的服务器进行应答判断,PS:会拉黑IP。
4. 利用字符串比较特征码:8B 54 24 04 8B 4C24 08 85 D2 75 0D 33 C0 85 C9 74 06 80 39 00 74 01 48 C3 85 C9 75 09 33 C0上述特征码是易语言比较字符串用的。当我输入账号密码时,在该处下断点,发现当字符串相同时,返回0,字符串不同时,返回1。尝试修改EAX=0,最后程序无响应了。
以上是我个人的一些尝试,感谢大大的阅读,希望得到大大的指正。大大们直接给出自己的解决方法也好,最好能说清楚具体步骤指导一下我这个萌新。谢谢!!!{:5_118:}
E盾带VMP授权 知道自己是萌新为啥要搞带VMP壳的呢{:5_118:} 萌萌的小短腿 发表于 2020-3-1 09:50
知道自己是萌新为啥要搞带VMP壳的呢
{:5_188:}逆向这个能用,算是一个目标动力吧,大大有什么建议吗? 米开朗琪罗 发表于 2020-3-1 02:31
E盾带VMP授权
{:5_118:}怎么看出来的,不知道判断使用了什么盾的方法。 yideisiwa 发表于 2020-3-1 11:17
逆向这个能用,算是一个目标动力吧,大大有什么建议吗?
基础没打牢,就想学飞,我告诉你咋破,你都看不懂{:5_188:} 萌萌的小短腿 发表于 2020-3-1 13:07
基础没打牢,就想学飞,我告诉你咋破,你都看不懂
大概用什么方法,我试试搜搜论坛类似的教程录像可以吗{:5_191:} 现在的软件对新手不太友好 尽量找一些无壳 无VMP的软件来练手吧
都VM了你还想着回溯 ... 楼主,我也卡住了。解决了的话请传授一波,感谢
页:
[1]
2