无壳E盾，找不到登录按钮事件，代码段无壳似乎也被加密

问题描述：一个E盾的软件，没有加壳，但是登录按钮事件跟常规的很不一样，然后验证逻辑也似乎不是是登录、合法、时间、算法。一个登录就卡住了
更不知道如何去找合法。算法
自我分析：
这个软件通过搜索字符串引用可以搜到有用的信息，可以清楚的判断是E盾的验证，但是根据E语言特征码找的按钮事件段不下来，登录部分根本就找不到入口
然后下端在进入许可区改登录返回逻辑也没有继续验证合法、取时间等操作，
问题配图 ：
文件的字符串引用

字符串查找

文件的PE区段查找

文件的PE区段

病毒查杀截图或链接：

下载链接：
核弹1.2.rar - 蓝奏云 (lanzouf.com)

7E21FFCD  万人骑啊   直接山寨不就行了ip 175.24.182.56
端口 109
软件名 E盾

Devin 发表于 2022-6-30 14:41
7E21FFCD  万人骑啊   直接山寨不就行了ip 175.24.182.56
端口 109
软件名 E盾

老哥能出个教程吗，那几个关键点都怎么找的，还有算法，
然后这个验证的模块是V37的吗

Devin 发表于 2022-6-30 15:17
论坛直接搜索万人骑就有源码了，单步我刚刚也看了，可以破的。
先下载源码了解一下E盾，然后下第三方断点 ...

感谢大佬我也成功了

感谢大佬的帮助帮我逆向了这个软件
这是我根据大佬的指导分析出来的结果
其中包括逆向版文件和逆向补丁的位置分析
可能和大佬的分析有点出入，我基本都是改的一些跳转实现的逆向

还是非常感谢大佬的指导，曾经只逆向分析过免费版的无壳天盾，今天第一次分析E盾还是非常迷惑的，好在在大佬的指导下成功逆向。
x64dbg的逆向补丁如下

>核弹1.2.exe
00011F57:0F->EB
00011F58:84->7E
00011FDB:0F->90
00011FDC:84->90
00011FDD:48->90
00011FDE:02->90
00011FDF:00->90
00011FE0:00->90
0001219F:0F->EB
000121A0:85->7E
00020D8A:55->C3
0002378E:0F->EB
0002378F:85->7E
00023815:0F->EB
00023816:85->7E
00581BAA:2D->31
00581BAC:00->31
00581BAD:7C->31
00581BAF:7C->31
00581BB0:32->31
00581BB1:7C->31

逆向版文件与补丁数据
https://wwn.lanzouf.com/iHnIa075t8id

这个既然是没vm没壳的V37-E企离线就很好分析了
登录 合法 时间 算法 都可以用特征码定位 省下不必的麻烦
登录：sub esp,0x164
合法：sub eax,0x88
读验证返回数据：sub eax,0x8
以下是补丁位置，L主可以自己分析看看00412EFF   登录，mov eax,1
00420D8A 合法,retn
00411F57  取卡号长度是否为32位，JMP
004231DD 读多机绑定在线数量，逆向读不了eax=FFFF所以会出错触发暗装，直接赋值1，mov eax,1
004235FC  读验证返回数据_登录成功次数，只要EAX不是负数就行
0043BA7C 线程二次验证，半小时验证一次时间如果为负数责会直接退出，retn
最后这个软件好像有锁机，楼主要注意一下！
有啥不对还请指出，毕竟我自己也在学习！

这个软件的山寨就更简单了就不用说了论坛就能搜到。

已经看到大佬完成了任务 趁机偷学一波哈哈哈

可惜的是最后这个逆向后还是没功能。

左源 发表于 2022-6-30 18:55
可惜的是最后这个逆向后还是没功能。

应该不可能吧，目测没有服务器数据。加个企鹅吗一起玩帕布吉