一款CF刷枪的独白
Warn:本帖将近毫无技术含量(主要就是F12暂停法),只因一个朋友被这个软件坑了上千块钱,特此逆向,望其它网友勿在中招+大牛飞过!!!在某网站上下载了该刷枪软件,解压后得
DIE查壳“CF刷枪软件2014永久免费版”
很好,无壳
OD载入后顺利运行,无提示压缩数据
得到软件界面
点击登录会员
消息提示框
好,作为一个MessageBox 的突破口
用伟大的F12暂停法,并点击 堆栈窗口K
双击箭头指向位置MessageboxA
来到这里并段首下断(程序领空),运行,再次点击登录会员
已断下,双击箭头指向位置
进入这里并往上找,发现没有
由堆栈的入栈方式是:“先入后出”可知在堆栈窗口往下拉有该Call的返回地址(我不懂为什么网友都喜欢在段首下断后一步步找返回值,这里不就有吗?)
双击下面返回值并找到一个跳转,可惜跳过过后仍然显示 请输入正确帐号
一直把堆栈往下拉,直到第下面图片箭头指向返回
双击进入
把反汇编窗口往上拉
发现有个跳过正确帐号的,jmp掉
由于已知这是个坑爹的软件,直接在反汇编窗口往下拉(要拉很下面一点),结果就发现了这个
果断JMP掉
再往下拉
呵呵,也JMP掉
FP运行
结果来了个这
(PS:第一次逆向时没有这个,直接显示登录成功)
算了,结果我发现事件是发生在第一个JMP后面,单步调试后找到了这个跳转(逆向是很需要耐心的,单步感觉用了很久)
这个跳转直接跳到了服务器失败,把JE改为JNZ
F9运行后
点击确定,转到主界面
随便找个帐号刷枪
呵呵,看起来很吊的样子
坑爹货
200元坑爹货
巩固了刚才姿势,F12暂停法
·······························································(过程重复就不写出来了)
点击确定
来了个这个400元坑爹货,再巩固一次
·······························································(过程重复就不写出来了)
然后呢,呵呵呵呵呵呵呵呵呵呵呵呵呵呵呵呵呵呵
至此,逆向也完毕了,结果很明显了,就是坑人的。
最后一次提醒网友们:天下没有免费的午餐,有点话早就被腾讯封了,它们这些人就是为了赚你们投机取巧的心理。
视频里面的估计是本地架设的服务器,看着好像很牛逼的样子,假的终归是假的!!!
写了将近一个多小时,求分啊
给你加分{:5_124:}
这种软件最近有很多人上当受骗,真是害人不浅。。
前排支持楼主
{:6_218:}从未相信过刷墙的软件,不过这作者还真会懂脑筋,一轮接一轮的骗钱
谢谢楼主的提供
这东西第一眼就凭感觉感觉知道是骗人的东西
楼主厉害!!
视频应该用的封包,只能看不能用的