吾爱汇编论坛

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 2214|回复: 26

易语言写的。没思路了。

[复制链接]

  离线 

升级   50%

DavidLiu 发表于 2021-12-20 15:28 | 显示全部楼层 |阅读模式


80HB
本帖最后由 DavidLiu 于 2021-12-23 17:02 编辑

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
新论坛好漂亮啊!点个赞!

先前的帖子可能因为改版的原因有些字看不清了,于是重新调整了一下

希望有好心的大佬看到帮忙指点一下,在此先谢谢了

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

通过字符串搜索,看到了有“易包”等字样,断定是易语言写的辅助

查壳是SE,恒大说过,不要害怕有壳的程序,打补丁就可以解决。有些程序作者可能只知道一个VM,不见得懂得怎么去VM关键的代码。【题外话了,言归正传】

这个程序不像是其他的网络验证,就一个登陆界面。

而是除此之外,它单独提供了一个功能模块,作者的本意是先登录后使用,这里考虑是不是可以跳过登录?直接进入功能界面呢。【并非push】

通过一些字符串分析【这个作者很有可能是在别人的基础上二次加工,加验证,得来的软件】【又扯题外话了,言归正传】
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

一般OD不行,过不了检测,奉上我的过检测OD

https://wwd.lanzoup.com/inQLNxsoile
密码:ctjt

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

运气比较好,通过字符串搜索,定位到了关键跳

001.png


程序有二次验证,思路围绕跳过“账号未找到”的信息框,一步一步往下排查。

跳过错的,总得遇到对的是吧?

002.png

在调试过程中,走过一个call,地址【00467AE6】程序并没有终止,然而不管是按F7 F8 F9都无法在步过或者运行,线程全部激活也没反应,程序窗口还不可点。

于是重新载入,单步F7一点一点跟,发现转了一大圈又回到了这个call

003.png

nop掉不行

跟进去找到第三个层嵌套的call,发现终于有可以跳过去的地方了,果断跳过,程序终止!【一脸黑线】

这特喵的我是拿它没辙了。。。。没思路了

我把录制的分析视频和程序源文件上传,里边TXT记录了有关键地址,希望有好心的老师看到帮忙解答一下。

本着论坛精神。没事少玩会儿手机,多学点技能!


------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

分析记录+分析录屏+源文件


https://wwd.lanzoup.com/iV1k4xsoibe
密码:fjfj


------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------


我在影子系统里捣鼓的,没发现什么暗桩,程序应该是安全的。

附上杀毒截图:

截屏2021-12-20 下午2.50.53.png

截屏2021-12-20 下午2.50.59.png




吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   42.5%

djj1076185529 发表于 2021-12-20 15:35 | 显示全部楼层


可可验证,里面加了修改直接触发远控。这叼毛阴险得很。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   50%

 楼主| DavidLiu 发表于 2021-12-20 15:38 | 显示全部楼层


想想办法啊,总不能惯着它吧?
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   42.5%

djj1076185529 发表于 2021-12-20 15:41 | 显示全部楼层


DavidLiu 发表于 2021-12-20 15:38
想想办法啊,总不能惯着它吧?

想什么办法? 他的所有版本我都弄完了。  还需要弄什么?  雅典娜?皇冠?熊猫?龙骑士?LV?有什么区别?都是调用了DLL的。  
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   50%

 楼主| DavidLiu 发表于 2021-12-20 15:45 | 显示全部楼层


您说弄完了是指?是全都右键垃圾桶了吗?
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   50%

 楼主| DavidLiu 发表于 2021-12-20 16:19 | 显示全部楼层


djj1076185529 发表于 2021-12-20 15:41
想什么办法? 他的所有版本我都弄完了。  还需要弄什么?  雅典娜?皇冠?熊猫?龙骑士?LV?有什么区别 ...

巨佬给指点一下吧{:5_117:}

巨佬给指点一下吧{:5_117:}{:5_117:}{:5_117:}
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   16.67%

kevinjian 发表于 2021-12-21 00:21 | 显示全部楼层


请问找到他的窗口没,我就差找到他的窗口了。
我找的都是无用 的窗口
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   50%

 楼主| DavidLiu 发表于 2021-12-21 08:52 | 显示全部楼层


push倒是能找到大概5个窗体吧,如您所料,都是些:注册说明,剩余时间提醒或者更新提示,等等一些无用的窗体。

而且它的弹窗不是Messagebox等等这些API断点能断下的,应该是跟它自身调用的DLL有关。

查看线程它并没有释放出来新的DLL文件,应该不属于释放类的保护方式。

也是发论坛碰碰运气,看看能不能有新的思路
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   50%

 楼主| DavidLiu 发表于 2021-12-21 19:18 | 显示全部楼层


每天都会过来看一看,真的那么无解,我也就死心了
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   55%

風清. 发表于 2021-12-21 19:59 | 显示全部楼层


来 学习一下 看看
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则 警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编论坛(www.52hb.com)所发布的破解补丁、注册机、逆向教程、逆向文章等,包含但不限于上述内容,仅限用于学习和研究目的,不得用于非法途径或商业行为。否则,一切后果请用户自行承担。本站内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如果您喜欢某程序,请购买正版,支持正版,获得正版优质服务。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@iCloud.com
站长微信:SharkHeng


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编论坛 ( 京公网安备11011502005403号 , 京ICP备20003498号 )

GMT+8, 2022-5-28 09:23 , Processed in 0.251276 second(s), 68 queries .

Powered by Discuz!

吾爱汇编论坛 www.52hb.com

快速回复 返回顶部 返回列表