一个天盾或者E盾的软件,核心验证部分被VM,请各位老师指点
问题描述: 一个天盾或者E盾的软件,核心验证部分被V,通过对许可区下段后可以段下来返回的第一个地址改登录成功之后直接就程序退出或者卡死。自我分析:
首先可以判断的是第一个许可区返回的那个函数绝对是登录,在改完之后,程序后面会写配置项了,可是继续运行后将不第二次断在许可区,
即第二次许可区返回我找不到合法函数了。
这样则更加不知道如何去找登录时间和算法JS了。
但是根据某个宝上一个大佬的分析,他几分钟就成功逆向,但是这个老板不给思路,不过那位大佬的分析可以证明这个程序是可以逆向的,还是我太菜了,看了那么多分析E或者天的视频还是搞不明白
希望大佬出个视频,帮忙把我从小白带入小入门
问题配图 :
首先载入后搜索字符串,什么都搜不到
E-Dbg分析可以分析出许可区
点击登录可以在许可区断下,下一个函数调用就是登录CALL
改完登录后程序会写配置项,完后不再在许可区断下,并直接卡死或者退出。
病毒查杀截图或链接:
下载链接:
冰魂6.10.rar - 蓝奏云 (lanzouf.com)
{:5_188:}某盾,很好搞... 柳暗花明丶七七 发表于 2022-6-11 14:57
某盾,很好搞...
某盾吗?有没有什么思路,指点一下,我按照E盾天盾的思路,一直没有任何办法 开源的某盾照着改一下就行了 冰魂?又是Dnf 0040F915验证合法头部
00411C42 .55 push ebp ;验证返回时间头部
0041277A .55 push ebp ;JS头部这几个就是你想要的地方
小童话 发表于 2022-6-12 02:37
0040F915验证合法头部
00411C42 .55 push ebp ;验证返 ...
走到合法的函数头部 ,用leave ,ret命令改完合法后继续执行,合法之后都执行不到取时间的这个地方,后面也没有断在JS的地方。
还有就是大佬求指点你这几个核心的地方是怎么找到的,居然找的都是代码区段.text的位置
我还停留在许可区返回到,分析vmp0区段的低级操作 试着山寨 可以注册登录充值 但登录闪退 有待分析 先搞个正版 伪造客户端 取出正版数据,山寨这是最简单的 左源 发表于 2022-6-12 05:15
走到合法的函数头部 ,用leave ,ret命令改完合法后继续执行,合法之后都执行不到取时间的这个地方,后面 ...
头部直接RET
页:
[1]
2