E盾，请各位老师指点。分少可加！

我知道分很少，只要能给出可行方案，你尽管留言开口，我能能力范围内会回复你，充钱加分。

已知信息：upx壳，用脱壳机即可 ，软件一台机器有24小时试用 ，同一台机器如果用硬盘码改写软件次数多了就会直接被服务器拦截，因为除了硬盘码 还会获取电脑系统信息（具体不详，但在od里面可以看到，大概有系统版本啊 cpu型号啊等等）大概的验证方式：  先向服务器post get tempkey   然后接收一个数据（每次都不一样）   然后再发送电脑的系统信息 以及硬盘码  然后再得到一个数据  并将信息保存在C盘 MCSGS文件夹下 保存为bmp格式，并设置为隐藏属性，显示出来再改成txt格式就能看到  mc_dc 里面是硬盘码，这个文件生成一次之后就不会改变， 我用改写硬盘码软件测试过    最后就是在点击窗口开始挂机的时候还会发送一次get tempkey  


在论坛里看了很多e盾的教程，都不适用，论坛里大多都是用特征码逆向，但那些特征码在这个FZ里都没用
因为没有逆向经验，虽然单步走可以看到很多信息，但只是猜个大概，不明白到底是怎么加密解密进行验证的。很多信息直接搜索字符串都能看到，这里就是发送验证的地方，跟过去之后到段首，发现有5个地方有调用，再跟过去就看蒙了，看不懂了，而且第一个调用一直跟到源头之后发现是没有任何调用的，难道就是主线程的意思吗？


网络验证这部分，因为实在看不懂，所以常识性进行了jmp和赋值，最后结果不是崩溃就是自动关闭

因为窗口能打开，于是就想着直接根据弹窗提示，看能不能直接跳过弹窗运行脚本，选择频道名称之后会提示过期，根据提示，进od里面找到提示之后跳过，点击开始挂机，下面当前操作那里会提示所有窗口已存在，进od里面可以看到里面  那里有个call  然后进行比较  这就是检测打开了几个窗口的地方，原本是jl  我改成了jmp 显然是不行的。。。   而比较的值  就是FZ界面 频道名称  那里   可以看到那里有个灰色的0 ，  正常有功能的时候那里会显示8，根据不同的模式 开几个号那里会显示几   而且有功能的时候 人数限制那里也是亮的 这时候是灰色的。我尝试过把比较跳转前面的那个call  进去之后赋值eax，8 ，但还是不行，还是显示的0


经测试，是否有功能取决于后面是红叉叉还是绿勾，和前面显示过期 还是永久没有关系。因为我从od里面改成永久过，没效果。。


本来之前用单步走 分析了很多，后来实在没办法 就放弃了一段时间， 另外用单步走的时候，有个问题就是如果直接运行可以运行到一个call  但是如果一步步走 就运行不到那里，导致我没法分析，因为新手只能用本办法一步步走。由于流程衔接不上，所以一直是盲人摸象。最后就是作者说有很多陷阱，之前一直用自己电脑直接分析的，虽然经常软件自动关闭，但从没触发过蓝屏关机什么的，不放心的话 可以放虚拟机里面分析。

FZ链接：https://pan.baidu.com/s/1dF4f7xf 密码：397j
另外好像作者新加了一个要安装三国杀桌面版才能打开FZ的限制    链接：https://pan.baidu.com/s/1hspMvqc 密码：seko      不到20M

真心求指点  PS 现在我电脑因为多次改硬盘码 已经被屏蔽了，打开会有这两个提示，跳过这两个提示也出不来功能界面。

叫恒大佬帮你解答 给你思路啥的应该没问题。

软件在哪里？

吾名邓艾 发表于 2017-12-21 22:26
软件在哪里？

FZ链接：https://pan.baidu.com/s/1dF4f7xf 密码：397j
另外好像作者新加了一个要安装三国杀桌面版才能打开FZ的限制    链接：https://pan.baidu.com/s/1hspMvqc 密码：seko

你这个是个人定制版把 ？

看了下，没有搞懂。验证在哪里，打开后所有功能都可以用

吾名邓艾 发表于 2017-12-21 23:13
看了下，没有搞懂。验证在哪里，打开后所有功能都可以用

你能用是因为新电脑有24小时试用期啊，你应该能看到    上面截图字符串那个地方就是访问服务器 收发验证信息的地方。那个mengchuxue.php

好了，不是e盾

吾名邓艾 发表于 2017-12-21 23:57

你看看我帖子上面的说明，你改成永久是不管用的，那个永久 过期 到期时间 只是个显示问题， 你在你电脑上之所以改成永久能用，其实你电脑上仍然是在试用期，所以有功能。