关于SE壳的网络验证

    程序应该是SE壳的，不能100%确定。具体版本不太清楚。

          网络验证搜索到的是飘零商业版3.5。
55 8B EC 81 EC 18 00 00 00 C7 45 FC 00 00 00 00 C7 45 F8 00 00 00 00 C7 45 F4 00 00 00 00


飘零2.8的命令序列也搜索到了。push ebp
mov ebp,esp
sub esp,0x38
mov dword ptr ss:[ebp-0x4],0x0
mov dword ptr ss:[ebp-0x8],0x0
mov dword ptr ss:[ebp-0xC],0x0
mov dword ptr ss:[ebp-0x10],0x0


     所以具体的飘零版本我也没弄明白。
按照恒大的教程，搜索.asp好几十个，找完了也没看到传输密码，个人觉得应该是被VM了。
     山寨的方法找不到传输密码，行不通。求大大帮忙看下怎么才能找到传输密码。
    结合特征码修改的方式win7系统下导致程序出错。



尝试爆破的方法，找不到关键call，字符串也没有可用信息。运行软件后也找不到可用的信息。     找到了登陆验证地址
  7569DBCD    8BFF            mov edi,edi

      用工具包里的软件，要不就是软件出错。要不就是程序出错，山寨，爆破，好吧，渗透我也想到了。可惜太难。
     调试了许久，总结出以下观点：
1.程序会破坏OD，OD调试次数多了以后，打开OD直接卡系统，系统进入假死状态，只有重启。
2.程序会注销系统，不是使用的cmd，貌似是结束了系统的关键服务。这个没办法截图，请见谅。
3.程序调用了懒人模块，还有程序会进入 tp://ptlogin2.qq.com/这个网站，后面是自己的QQ号。不清楚什么作用，还会进入太平洋ip网站，截取使用用户的ip地址，发送到后台。这个程序的后台是一个FZ网站http://www.qq1171.com/vip/ck_fuck.php这个是程序指向地址，去掉后缀就是一个网站。
4.还有一些无关紧要的就略过了。
     我的问题是：这个程序不脱壳有没有办法逆向或者山寨呢？希望大大可以给一点思路或者建议。这个程序VM的东西有点多，好多东西我都找不到。论坛里的教程里讲的东西几乎都被VM了。额......说不定是我笨，找不到也有可能。
     求大大帮忙，怎么样才可以定位暗装的地址，上次的VMP壳的程序也是有暗装所以程序还是现实错误。希望大大可以给新手一点建议，怎么才可以准确的找到暗装？，我感觉有一个笨方法就是一步一步的跟。但这个SE壳的跟下去就是程序错误，其实总的来说我就是求大大帮忙看一下这个暗装是怎么回事。如果蓝屏的话，我饿电脑怎么一点反应都没有？除了程序错误，没有其他的什么提示。也判断不出来。

     链接: http://pan.baidu.com/s/1pJNXhQN 密码: aiur
这个是程序的链接，貌似还是和上次一样是穿越火线的FZ。我就是在那个网站下载的，本想找一个简单的网络验证练练手。没想到网络验证简单。程序不简单。问大大一个问题，是不是XP调试才可以了解程序的暗装是什么？win7的系统只有错误提示，这个是不是不利于找到暗装呢？

封包地址写的是这个东西,80V1.3 BY:Blruce,可能不是飘零的吧

阿菜 发表于 2014-12-16 00:56
封包地址写的是这个东西,80V1.3 BY:Blruce,可能不是飘零的吧

请问下，该是什么呢？        用飘零的特征码搜索到了地址，这个是怎么回事。我看着界面也不太像。

扫地僧 发表于 2014-12-16 01:43
这明显就是八零的验证呀

八零是什么验证？？？？

进过我一晚上的奋斗，终于这个程序告破。    。

1003770559 发表于 2014-12-16 04:25
进过我一晚上的奋斗，终于这个程序告破。   。

补充一句，这个程序貌似不是飘零。像极了八零验证。不过八零验证的分析方法还是没有起效。我是用的帮里分析方法，具体成功与否。待我叫我朋友帮我测试下。

SE壳这个倒是对的，但是用飘零的特征码搜到了，也不奇怪，因为程序都不能百分百保证自己的代码是不同的、、

额.......，求大大再次帮忙看一下。重启电脑后补丁不起作用了，应该是动态基质。这个应该怎么打补丁呢？

你知道在哪补丁的吧，试试论坛这位大牛里面的方法
https://www.52hb.com/forum.php?m ... 0%BE%C3%C6%C6%BD%E2
好像就是特征码补丁，里面有易语言源码