天盾验证v726带vm无法成功爆破、山寨请求助坛友大佬给予思路
问题描述: 买来的软件作者跑路了,通过过往的版本分析该软件是使用了天盾v726免费版作为管理端验证的,已翻遍各大论坛各种天盾相关教程其中包含(JS算法跟进、三步爆破、ip劫持、补数据等)均没有有效解决问题,以下是我分析思路;自我分析: 原软件改了区段也有可能是加了壳,程序解码前无法直接找到天盾相关字符串;1、通过抓包分析得出IP于端口及软件版本名称均为默认“天盾”,在尝试使用IP转向本地化过程中发现软件会提示与服务器失去连接,考虑到是否是管理端版本不一致问题,目前已尝试使用如下管理端来进行山寨均不可以有效链接到服务器(v6.5.7、v726、6.5企业版)
2、考虑到天盾存在JS验证,首先考虑到是否是修改了JS函数导致,根据原贴“单步JS算法跟进”的指导,在程序解码后XGdun字符串位置下端,又发现无论是在窗体创建之前或者之后发送send的位置,都没办法运行到下端位置。(ps也就是说程序根本没运行到JS函数验证?这不科学)
3、又根据论坛内所提及的三步爆破方法指导,通过E-DBUG定位程序入口许可区在段位retn下端,通过eax赋值,又发现程序会有两种情况,第一种直接假死窗体消失,第二种卡在按钮“登陆中”却无法正常回显/报错;
4、在定位天盾关键je跳和CALL的位置上也遇到了一些阻力,没办法匹配到这个关键特征。但是在程序解码后发现大部分信息其实都没有被V。
现在老弟我有点江郎才尽了,希望各位大佬们可以给予一些思路,如果能出个视频那就更好了,献上身上所有的HB。{:5_189:}{:5_189:}
问题配图 :
病毒查杀截图或链接:
分析发现:在调试过程中发现,该软件可能还会释放.cache_ 蠕虫病毒,可能是用于防止被人逆向的暗装,下段CreatFileA也没有找到是在哪个CALL释放出来的。各位大哥如果调试务必注意虚拟机
下载链接:
链接: https://pan.baidu.com/s/11MT0BcTjE25D5SJ2uTPunw 提取码: dqkr
再次感谢上一次求助 一万八大神的详细分析,恳求各位江湖大哥帮帮我这只小白老弟;如果能有大哥愿意帮忙出视频那就更好了
无VM的天盾
https://www.52hb.com/thread-54604-1-1.html
(出处: 吾爱汇编论坛)
教程已录 你截图的字符串全是特征点为什么不进一步试试呢
本帖最后由 Icpower 于 2022-2-23 03:46 编辑
这是个人版的.而且相当于无壳.直接接口山寨不就好了.DUMP也可以.直接跳主程序也可以.
没啥难度无壳的
2388916462 发表于 2022-2-23 10:52
没啥难度无壳的
哇 大佬,可以帮忙出个视频吗。我研究了好久都没有解决 Icpower 发表于 2022-2-23 01:54
这是个人版的.而且相当于无壳.直接接口山寨不就好了.DUMP也可以.直接跳主程序也可以.
...
哇 都是大哥 ,可以有大哥帮忙出个视频吗 哇 都是大哥 ,可以有大哥帮忙出个视频吗 阿旺 发表于 2022-2-22 23:23
https://wwo.lanzouy.com/iyJFN00fshvc
大哥感谢你的回复,这个视频我看过了,没有成功
页:
[1]
2