天盾验证v726带vm无法成功爆破、山寨请求助坛友大佬给予思路

问题描述： 买来的软件作者跑路了，通过过往的版本分析该软件是使用了天盾v726免费版作为管理端验证的，已翻遍各大论坛各种天盾相关教程其中包含（JS算法跟进、三步爆破、ip劫持、补数据等）均没有有效解决问题，以下是我分析思路；
自我分析： 原软件改了区段也有可能是加了壳，程序解码前无法直接找到天盾相关字符串；1、通过抓包分析得出IP于端口及软件版本名称均为默认“天盾”，在尝试使用IP转向本地化过程中发现软件会提示与服务器失去连接，考虑到是否是管理端版本不一致问题，目前已尝试使用如下管理端来进行山寨均不可以有效链接到服务器（v6.5.7、v726、6.5企业版）
2、考虑到天盾存在JS验证，首先考虑到是否是修改了JS函数导致，根据原贴“单步JS算法跟进”的指导，在程序解码后XGdun字符串位置下端，又发现无论是在窗体创建之前或者之后发送send的位置，都没办法运行到下端位置。（ps也就是说程序根本没运行到JS函数验证？这不科学）
3、又根据论坛内所提及的三步爆破方法指导，通过E-DBUG定位程序入口许可区在段位retn下端，通过eax赋值，又发现程序会有两种情况，第一种直接假死窗体消失，第二种卡在按钮“登陆中”却无法正常回显/报错；
4、在定位天盾关键je跳和CALL的位置上也遇到了一些阻力，没办法匹配到这个关键特征。但是在程序解码后发现大部分信息其实都没有被V。


现在老弟我有点江郎才尽了，希望各位大佬们可以给予一些思路，如果能出个视频那就更好了，献上身上所有的HB。
问题配图 ：



病毒查杀截图或链接：
分析发现：在调试过程中发现，该软件可能还会释放.cache_ 蠕虫病毒，可能是用于防止被人逆向的暗装，下段CreatFileA也没有找到是在哪个CALL释放出来的。各位大哥如果调试务必注意虚拟机
下载链接：
链接: https://pan.baidu.com/s/11MT0BcTjE25D5SJ2uTPunw 提取码: dqkr

再次感谢上一次求助 一万八大神的详细分析，恳求各位江湖大哥帮帮我这只小白老弟；如果能有大哥愿意帮忙出视频那就更好了

你截图的字符串全是特征点为什么不进一步试试呢

这是个人版的.而且相当于无壳.直接接口山寨不就好了.DUMP也可以.直接跳主程序也可以.

没啥难度无壳的

2388916462 发表于 2022-2-23 10:52
没啥难度无壳的

哇 大佬，可以帮忙出个视频吗。我研究了好久都没有解决

Icpower 发表于 2022-2-23 01:54
这是个人版的.而且相当于无壳.直接接口山寨不就好了.DUMP也可以.直接跳主程序也可以.
...

哇 都是大哥 ，可以有大哥帮忙出个视频吗

哇 都是大哥 ，可以有大哥帮忙出个视频吗

阿旺 发表于 2022-2-22 23:23
https://wwo.lanzouy.com/iyJFN00fshvc

大哥感谢你的回复，这个视频我看过了，没有成功