网站 › 『=悬赏求助=』 › 最后一小步，谁帮我分析下？

骚年 发表于 2015-2-12 02:36

最后一小步，谁帮我分析下？

本帖最后由 骚年 于 2015-2-12 06:20 编辑


这个是一个神马云购的东西。
登陆是OK了，但是呢作者说神马大盘数据或者不了
我点击获取失败，然后某地方修改成功是获取成功
但是数据没有呀- -、我也不晓得咋搞了、、、
来帮我分析下撒- -。@心有余悸 @System @520Kelly
@童真丶@温柔断想 @Crook@亚轩@各种大大其他不一一@了
忘记了附件作者很牛逼的说了声。如果逆向的了我就不加压缩壳了
被说糊涂了，本吊不懂。。。压缩壳这么牛逼？

Jacky 发表于 2015-2-12 02:37

刚刚下载就要更新，蛋碎。。。

注册了个账号看了下，它说赠送5分钟。就看了下功能。发现没什么限制。那么逆向的方法就又多了一个。

无限注册去试用。当然作者也不笨。所以他做了限制。

那么我们去除他的注册限制看看？！

00403164   /0F84 41000000   je 云购多功.004031AB
0040316A   |6A 00         push 0x0
0040316C   |6A 00         push 0x0
0040316E   |6A 00         push 0x0
00403170   |68 04000080   push 0x80000004
00403175   |6A 00         push 0x0
00403177   |68 163E5100   push 云购多功.00513E16                     ; 温馨提示
0040317C   |68 01030080   push 0x80000301
00403181   |6A 00         push 0x0
00403183   |68 40000000   push 0x40
00403188   |68 04000080   push 0x80000004
0040318D   |6A 00         push 0x0
0040318F   |68 1F3E5100   push 云购多功.00513E1F                     ; 恭喜您，注册成功！系统免费赠送您5分钟试用时间！
00403194   |68 04000000   push 0x4
00403199   |BB A0044500   mov ebx,云购多功.004504A0
0040319E   |E8 0A8F0400   call 云购多功.0044C0AD
004031A3   |83C4 34         add esp,0x34
004031A6   |E9 4C030000   jmp 云购多功.004034F7
004031AB   \68 02000080   push 0x80000002
004031B0    6A 00         push 0x0
004031B2    68 00000000   push 0x0
004031B7    6A 00         push 0x0
004031B9    6A 00         push 0x0
004031BB    6A 00         push 0x0
004031BD    68 04000080   push 0x80000004
004031C2    6A 00         push 0x0
004031C4    68 4F3E5100   push 云购多功.00513E4F                     ; 同一IP24小时内只能注册一次

发现这一段。不多说。NOP掉。

当然以上只是一种另类的方法。毕竟不可能每次都需要自己手动去注册。

介于楼主所说的“获取失败”

首先直接不让它获取到失败的地方应该就能解决。因为是网吧所以没有过多的分析。

0040B5F6   /0F84 E2020000   je 云购多功.0040B8DE

失败的跳转。

功能的验证：0040A856   /74 09         je X云购多功.0040A861


当然不排除其他暗装。

登陆的地方就不贴了，楼主自己已经找出来了。

PS：如有疑问或不妥之处敬请海涵。   

有问题请站内PM！

小者 发表于 2015-2-12 02:43

绝逼是暗装

骚年 发表于 2015-2-12 02:46

小者 发表于 2015-2-12 02:43
绝逼是暗装

附件已经上次， 求分析- -。

Crook 发表于 2015-2-12 13:48

有正版号嘛你抓包看下 查询那个按钮是否用正版帐号读取数据的

如果没有 你再仔细找找有没有可疑的赋值

骚年 发表于 2015-2-12 18:54

Crook 发表于 2015-2-12 13:48
有正版号嘛你抓包看下 查询那个按钮是否用正版帐号读取数据的

如果没有 你再仔细找找有没有可疑的赋值 ...

{:5_185:}看不懂- -。我下段跟了下菜鸟有些还是看不懂!跪求Crook师傅帮分析

Jacky 发表于 2015-2-15 12:44

最后一小步，谁帮我分析下？

因为他所说的注册赠送5分钟并没有在5分钟后结束程序或对程序本身进行限制，而且有一个到期的提示，（没有具体跟所以并不一定。）你也可以过掉。那么你注册的号就可以无限使用了，


对了。楼上的提醒了我。因为有赠送也就是试用。那么同样可以用封包去解决。也就是本地。

骚年 发表于 2015-2-15 23:49

Jacky 发表于 2015-2-15 12:44
因为他所说的注册赠送5分钟并没有在5分钟后结束程序或对程序本身进行限制，而且有一个到期的提示，（没有具 ...

不行{:5_185:}

Jacky 发表于 2015-2-17 01:31

骚年 发表于 2015-2-15 23:49
不行

那就本地呗。

骚年 发表于 2015-2-17 03:10

Jacky 发表于 2015-2-17 01:31
那就本地呗。

不搞了。给你分吧

查看完整版本: 最后一小步，谁帮我分析下？