网站 › 『=悬赏求助=』 › 一个天盾的软件破解登录后一会就弹未充值

b.y小伟 发表于 2025-6-3 20:41

一个天盾的软件破解登录后一会就弹未充值

本帖最后由 b.y小伟 于 2025-6-3 23:36 编辑



他的第二次验证的文件是伪装在这个里面目前不知道他的DLL在哪里或者是EXE

   单独打开这个exe只弹出这个




登录后一会就弹未充值

内存_写字节集 (进程ID,“4C949E”, 字节集_十六进制到字节集2 (“3232323232323232”)）
内存_写字节集 (进程ID,“447C40”, 字节集_十六进制到字节集2 (“C3”)）
内存_写字节集 (进程ID,“402E2A”, 字节集_十六进制到字节集2 (“B801000000C3909090”)）
内存_写字节集 (进程ID,“411CC1”, 字节集_十六进制到字节集2 (“C3”)）
内存_写字节集 (进程ID,“40FF10”, 字节集_十六进制到字节集2 (“C3”)）
内存_写字节集 (进程ID,“4102F2”, 字节集_十六进制到字节集2 (“B89E944C00C2040090”)）




链接：https://wwur.lanzout.com/i44rO2xye8re

a781126 发表于 2025-6-3 21:13

破什么了呢

b.y小伟 发表于 2025-6-3 21:16

a781126 发表于 2025-6-3 21:13
破什么了呢

什么意思老哥

khuntoria 发表于 2025-6-3 21:50

dll有验证哦

b.y小伟 发表于 2025-6-3 21:57

khuntoria 发表于 2025-6-3 21:50
dll有验证哦

好像不是 我有别人搞的数据，但是我不知道他怎么跳转到那个地址的

b.y小伟 发表于 2025-6-3 22:03

b.y小伟 发表于 2025-6-3 21:57
好像不是 我有别人搞的数据，但是我不知道他怎么跳转到那个地址的
后面的 JMP 每次的地址都不同 搞不懂他那个地址怎么来的

这个是固定的



这个jmp地址也是不固定的

1        DSTek.exe+2E2A        push ebp        jmp near ptr 0D62B5D1h
2        DSTek.exe+FF10        push ebp        ret
3        DSTek.exe+102F2        push ebp        jmp near ptr 0D61E157h


11        ntdll.dll+72DD0        mov eax,23h        jmp near ptr 8A0ED230h

b.y小伟 发表于 2025-6-3 22:05

b.y小伟 发表于 2025-6-3 21:57
好像不是 我有别人搞的数据，但是我不知道他怎么跳转到那个地址的




上面两个JMP地址每次都不固定，这个是别人的补丁


这个是固定的



具体数据
1        DSTek.exe+2E2A        push ebp              jmp near ptr 0D62B5D1h
2        DSTek.exe+FF10        push ebp         ret
3        DSTek.exe+102F2        push ebp         jmp near ptr 0D61E157h

大彩笔 发表于 2025-6-4 11:42

exe爆破了还是提示到期 那就是DLL有二次验证。

khuntoria 发表于 2025-6-4 12:16

b.y小伟 发表于 2025-6-3 22:05
上面两个JMP地址每次都不固定，这个是别人的补丁




你别急着跟我犟，就是dll有验证，即使你把exe的搞定了，你进入到游戏，还会提示

b.y小伟 发表于 2025-6-4 13:01

khuntoria 发表于 2025-6-4 12:16
你别急着跟我犟，就是dll有验证，即使你把exe的搞定了，你进入到游戏，还会提示 ...

注入到游戏到不会，他这是劫持

查看完整版本: 一个天盾的软件破解登录后一会就弹未充值