某车辅助核盾山寨打补丁
运行环境:WIN11
涉及工具:
OD
教程类型:
逆向限制 算法分析
视频是否带有论坛水印:
否
是否讲解思路和原理:
是
是否为悬赏杀手:
是https://www.52hb.com/thread-54455-1-1.html
以下为图文内容:
这个视频也顺便教教其他在研究核盾的坛友。
这个软件系列是我入门逆向的原因,2020年疫情原因,在家闲着无聊回归飞车大家庭,当时听网友介绍这款FZ,看着它的店铺琳琅满目
众多软件价格不等,9到60甚至120,身为浙江理工大学贫困学生的我,将用我计算机应用技术的专业突破自我,自学破解。
淦它!
2020年的时候这个作者还是很水的,就加了一个UPX或者ASP这种压缩壳,什么防破手段都没有,字符串暴露,甚至是致命的核盾三码都能看到。
当时我逆向出成品分享在QQ群等地,没几天就迅速攻占飞车FZ群文件列表,我Only1的大名也被人熟知。
后面作者做出了一系列针对我的更新,防PUSH,加入静态数据,远程函数,暗桩,甚至VMP。
可笑。
2022年的今天,论坛的朋友求助,既然我都研究它两年了,我肯定是很了解这个软件的,那就由我来为大家讲解吧。
首先看看2020年我存下来的它旧版本的FZ
2020年的时候就加了简单的压缩壳,三码也能找到。
再看当前版本的信息。
VMProtect v.2.07 - X.X2003-2013
再说一个关键点,这个FZ现在是有TLS反调试的,把StrongOD里的Break on tls选项勾上,程序就不会一载入OD就跑飞了。
现在的版本三码已经不是那么好找了,起码字符串搜索找不到,我们先试试搜索一下三码
现在的版本通过一些办法,比如取网卡信息可以找到,但是这个作者没那么聪明,三码其实很容易就能找到。
先试试在内存中搜索。找到了,定位过去
下GetVersion断点,是因为易语言程序一定会调用这个API,而且在程序完全释放之前,所以可以在断下后进行操作
CreateWindowExA也可以,这个是创建窗口函数,意思我在程序窗口创建前,断下,做我自己的事情。
断下后找到三码数据的地方
替换好自己的三码之后将GetVersion断点取消,再运行程序
山寨成功,之后是打补丁。
因为是VMP的壳子,要HOOKAPI
可以选择user32.dllAPI函数选CreaetWindowExA
也可以选kernel32.dll API函数GetVersion
选这个的意思是补丁数据填充的时机,我在窗口创建前就把数据替换了。
遗憾的是
远程函数我还没解决,恕我学识浅,如过有大佬搞定了,也出个视频教教我,感谢。
视频下载地址:
百度网盘https://pan.baidu.com/s/1S7wCEUwWO16CrKGee2slvQ 提取码: 77nz
腾讯云盘:https://share.weiyun.com/YPPjsWKd 密码:ihyaup
阿里云盘:https://www.aliyundrive.com/s/aHbaKnoPAg7 提取码: only1studio
解压密码回复可见
**** Hidden Message *****
感谢楼主 前来向大佬学习 谢谢分享 太好了,我看看,谢谢! 谢谢分享 谢谢分享 谢谢分享 这个不错谢谢,看一下 感谢楼主