无壳E盾,找不到登录按钮事件,代码段无壳似乎也被加密
问题描述:一个E盾的软件,没有加壳,但是登录按钮事件跟常规的很不一样,然后验证逻辑也似乎不是是登录、合法、时间、算法。一个登录就卡住了更不知道如何去找合法。算法
自我分析:
这个软件通过搜索字符串引用可以搜到有用的信息,可以清楚的判断是E盾的验证,但是根据E语言特征码找的按钮事件段不下来,登录部分根本就找不到入口
然后下端在进入许可区改登录返回逻辑也没有继续验证合法、取时间等操作,
问题配图 :
文件的字符串引用
文件的PE区段查找
病毒查杀截图或链接:
下载链接:
核弹1.2.rar - 蓝奏云 (lanzouf.com)
左源 发表于 2022-6-30 14:43
老哥能出个教程吗,那几个关键点都怎么找的,还有算法,
然后这个验证的模块是V37的吗 ...
论坛直接搜索万人骑就有源码了,单步我刚刚也看了,可以破的。
先下载源码了解一下E盾,然后下第三方断点,之后一直回溯,就找到登录的入口点了
00411D89/$55 push ebp 这个就是登录的入口
下面是你单步走分析的call
00411EAE|.E8 4C100000 call 核弹1_2.00412EFF ;登录call
00412160|> \E8 25EC0000 call 核弹1_2.00420D8A ;合法call
0041221F|> \E8 5C130100 call 核弹1_2.00423580 ;正版卡暗装call
不能说的再白了吧 再白就相当于给你破了
没事的时候自己把源码编译出来 认识一下各种功能call 很好破
7E21FFCD万人骑啊 直接山寨不就行了ip 175.24.182.56
端口 109
软件名 E盾
Devin 发表于 2022-6-30 14:41
7E21FFCD万人骑啊 直接山寨不就行了ip 175.24.182.56
端口 109
软件名 E盾
老哥能出个教程吗,那几个关键点都怎么找的,还有算法,
然后这个验证的模块是V37的吗 Devin 发表于 2022-6-30 15:17
论坛直接搜索万人骑就有源码了,单步我刚刚也看了,可以破的。
先下载源码了解一下E盾,然后下第三方断点 ...
感谢大佬我也成功了
感谢大佬的帮助帮我逆向了这个软件
这是我根据大佬的指导分析出来的结果
其中包括逆向版文件和逆向补丁的位置分析
可能和大佬的分析有点出入,我基本都是改的一些跳转实现的逆向
还是非常感谢大佬的指导,曾经只逆向分析过免费版的无壳天盾,今天第一次分析E盾还是非常迷惑的,好在在大佬的指导下成功逆向。
x64dbg的逆向补丁如下
>核弹1.2.exe
00011F57:0F->EB
00011F58:84->7E
00011FDB:0F->90
00011FDC:84->90
00011FDD:48->90
00011FDE:02->90
00011FDF:00->90
00011FE0:00->90
0001219F:0F->EB
000121A0:85->7E
00020D8A:55->C3
0002378E:0F->EB
0002378F:85->7E
00023815:0F->EB
00023816:85->7E
00581BAA:2D->31
00581BAC:00->31
00581BAD:7C->31
00581BAF:7C->31
00581BB0:32->31
00581BB1:7C->31
逆向版文件与补丁数据
https://wwn.lanzouf.com/iHnIa075t8id 这个既然是没vm没壳的V37-E企离线就很好分析了
登录 合法 时间 算法 都可以用特征码定位 省下不必的麻烦
登录:sub esp,0x164
合法:sub eax,0x88
读验证返回数据:sub eax,0x8
以下是补丁位置,L主可以自己分析看看00412EFF 登录,mov eax,1
00420D8A 合法,retn
00411F57取卡号长度是否为32位,JMP
004231DD 读多机绑定在线数量,逆向读不了eax=FFFF所以会出错触发暗装,直接赋值1,mov eax,1
004235FC读验证返回数据_登录成功次数,只要EAX不是负数就行
0043BA7C 线程二次验证,半小时验证一次时间如果为负数责会直接退出,retn
最后这个软件好像有锁机,楼主要注意一下!{:5_188:}
有啥不对还请指出,毕竟我自己也在学习!
这个软件的山寨就更简单了就不用说了论坛就能搜到。{:5_117:}
已经看到大佬完成了任务 趁机偷学一波哈哈哈 可惜的是最后这个逆向后还是没功能。 左源 发表于 2022-6-30 18:55
可惜的是最后这个逆向后还是没功能。
应该不可能吧,目测没有服务器数据。加个企鹅吗一起玩帕布吉{:5_188:}
页:
[1]
2