这个软件的关键CALL在哪儿呢?大牛帮忙一下
本帖最后由 airdear 于 2015-3-11 18:04 编辑0047784A /74 36 je X中仙科技.00477882 直接修改je为JNP 能直接跳到下面
004779A7|.68 80236400 push 中仙科技.00642380 ;注册成功!\r\n\r\n请查看软件主界面右下角,是否显示"已授权"字样.\r\n\r\n感谢您的支持
但是还是显示未授权 注册窗口未关闭 问下问题出在哪儿.大牛指点一下
大牛帮忙一下
麻烦大牛了 非常需要这个
软件地址在这:http://pan.baidu.com/s/1i3vL86x麻烦大牛了 最好有个过程
请上传分析图不然视为求破
本帖最后由 hktkzyz 于 2015-3-12 14:22 编辑
大家接着往下分析吧,小弟有些力不从心了,新手,感觉有些复杂。
感觉这个是关键跳,但是nop或jnz后,在第二行直接跳进了ntdll系统模块。而且F8到第一个call,程序就死掉。
而且没有跳转能跳过那个call。。。。。期待继续分析。。
本帖最后由 Security 于 2015-3-12 18:16 编辑
断MessageBoxExW后回溯,第一个关键跳,改jmp
走过这个call发现不向下执行了
进call,将jns改为jmp
又一个可疑跳转,改jmp
成功进入主界面
用C++按钮事件,可以找到它的时钟校验,在时钟里修改就可以过注册了.
继续关注中,还不懂如何逆向时钟效验。
Security 发表于 2015-3-12 18:10
断MessageBoxExW后回溯,第一个关键跳,改jmp
走过这个call发现不向下执行了
还是没搞懂 期待帮个忙 做个教程或者直接 你懂的
其实Security大神分析的是用户登录那个窗口。后来我发现你的问题是逆向注册。时钟效验这个真心不懂,在那个settimer里我也看不出什么门道,期待学习。
本帖最后由 hktkzyz 于 2015-3-17 19:47 编辑
这个应该是关键跳,但我现在只是硬改,并不是授权后系统改的。
但是有这个关键跳,再加上爆破注册按钮处的相关代码,应该可以汇编分析一下,今天先这样,有时间再分析。
那个settimer,我进去看了看看不懂,我把参数置0了,没发现什么变化。一步步来吧,小白我汇编不行。
又分析了一下,好象是这样:
1、我们逆向的好像只是注册按钮。感觉功能应该没逆向。
2、即使逆向掉已授权。感觉功能也没逆向。
3、点击注册的时候,有个call会进行验证一个cmp,由此确定是否显示“已授权”。
但这个验证用的变量,符合条件时才通过验证,而且会通过某个call将用户名附加到“已授权给:”的后面。
4.....有可能是一个多重调用,将那个段retn掉不知可否。
水平有限,大概只能帮助到这里了。
注册按钮下面还有好几个call,自己水平分析不了那么深了。
F8一直单步走
页:
[1]
2