傻白甜四号妹的拆解:
本帖最后由 冥界3大法王 于 2019-11-20 14:13 编辑四妹长得很清秀,登录开通解限制。
打开偶弟搜一搜,敌力分布瞧清晰,利用筛选来归类,一目了然看明白。
00576C34 PUSH 傻白甜4?0059DB84 is_vip_available
00577C73 PUSH 傻白甜4?0059DB84 is_vip_available
0057B59B PUSH 傻白甜4?0059DB84 is_vip_available
00591BCF PUSH 傻白甜4?0059DB84 is_vip_available 5个都调用了 4?0059DB84
00576C8B PUSH 傻白甜4?0059DBC0 续期VIP
0057814F PUSH 傻白甜4?0059DBC0 续期VIP
0057B6CE PUSH 傻白甜4?0059DBC0 续期VIP
0057DB12 PUSH 傻白甜4?0059DBC0 续期VIP
00591C2C PUSH 傻白甜4?0059DBC0 续期VIP 5个都调用了4?0059DBC0
0057DB0B PUSH 傻白甜4?0059EA34 开通VIP
0058C034 PUSH 傻白甜4?0059EA34 开通VIP
0058C3BE PUSH 傻白甜4?0059EA34 开通VIP
00587514 PUSH 傻白甜4?0059E564 vipLabel
005875B9 PUSH 傻白甜4?0059E564 vipLabel
005880EC PUSH 傻白甜4?0059E564 vipLabel
005881A5 PUSH 傻白甜4?0059E564 vipLabel
0058823D PUSH 傻白甜4?0059E564 vipLabel 5个都调用了4?0059E564
0057CF50 PUSH 傻白甜4?0059F5B0 vip
0058BA90 PUSH 傻白甜4?0059F5B0 vip
0058BFD8 PUSH 傻白甜4?0059F5B0 vip 5个都调用了4?0059F5B0
0058BAA0 PUSH 傻白甜4?005A0120 againVip
0058C060 PUSH 傻白甜4?005A0120 againVip 2个都调用了4?005A0120
0058BD79 PUSH 傻白甜4?005A01D0 VIP会员 1个调用了4?005A0120
归类之后变简单,尝试下断跟一跟,动态分析找端倪,试图再找新线索。
明显不是出得早,排除断点向下跟。我们先从登录来,看看是否有发现。
点击登录会断下,别忙修改往下走,假码假号都出现,我们继续向下跟。
00577D90 .FFB5 84F7FFFF PUSH DWORD PTR SS: ; /n
00577D96 .8BF0 MOV ESI,EAX ; |
00577D98 .6A 00 PUSH 0x0 ; |c = 00
00577D9A .56 PUSH ESI ; |s
00577D9B .89B5 68F7FFFF MOV DWORD PTR SS:,ESI ; |ESI=04EEB2F8, (ASCII "POST /v1/login?timestamp=2254765851")
00577DA1 .E8 50BC0100 CALL <JMP.&VCRUNTIME140.memset> ; \memset
00577DA6 .837D A4 10 CMP DWORD PTR SS:,0x10
00577DAA .8D4D 90 LEA ECX,DWORD PTR SS:
00577DAD .0F434D 90 CMOVNB ECX,DWORD PTR SS:
00577DB1 .51 PUSH ECX
00577DB2 .FFB5 84F7FFFF PUSH DWORD PTR SS:
00577DB8 .56 PUSH ESI
00577DB9 .FF15 B0985900 CALL DWORD PTR DS:[<&api-ms-win-crt-string->;ucrtbase.strcpy_s
00577DBF .8B8D 80F7FFFF MOV ECX,DWORD PTR SS:
00577DC5 .B8 10000000 MOV EAX,0x10
00577DCA .83E1 0F AND ECX,0xF
00577DCD .83C4 1C ADD ESP,0x1C
00577DD0 .2BC1 SUB EAX,ECX
00577DD2 .85C0 TEST EAX,EAX
00577DD4 .7E 26 JLE SHORT 傻白甜4?00577DFC
00577DD6 .C1E7 04 SHL EDI,0x4
00577DD9 .03F9 ADD EDI,ECX
00577DDB .8BC8 MOV ECX,EAX
00577DDD .03FE ADD EDI,ESI
00577DDF .0FB6C0 MOVZX EAX,AL
00577DE2 .8BF1 MOV ESI,ECX
00577DE4 .69C0 01010101 IMUL EAX,EAX,0x1010101
00577DEA .C1E9 02 SHR ECX,0x2
00577DED .F3:AB REP STOS DWORD PTR ES:
00577DEF .8BCE MOV ECX,ESI
00577DF1 .8BB5 68F7FFFF MOV ESI,DWORD PTR SS:
00577DF7 .83E1 03 AND ECX,0x3
00577DFA .F3:AA REP STOS BYTE PTR ES:
00577DFC >8BBD 6CF7FFFF MOV EDI,DWORD PTR SS:
00577E02 .8D47 01 LEA EAX,DWORD PTR DS:
00577E05 .C60437 00 MOV BYTE PTR DS:,0x0
00577E09 .50 PUSH EAX
00577E0A .E8 89AC0100 CALL 傻白甜4?00592A98
00577E0F .8BF0 MOV ESI,EAX
00577E11 .8D47 01 LEA EAX,DWORD PTR DS:
00577E14 .50 PUSH EAX ; /n
00577E15 .6A 00 PUSH 0x0 ; |c = 00
00577E17 .56 PUSH ESI ; |s
00577E18 .E8 D9BB0100 CALL <JMP.&VCRUNTIME140.memset> ; \memset
00577E1D .83C4 10 ADD ESP,0x10
00577E20 .8D8D 8CF7FFFF LEA ECX,DWORD PTR SS:
00577E26 .E8 4546FFFF CALL 傻白甜4?0056C470
00577E2B .6A 10 PUSH 0x10
00577E2D .6A 10 PUSH 0x10
00577E2F .FF35 28005B00 PUSH DWORD PTR DS: ;34kisdafAMN3zsTy
00577E35 .8D8D 8CF7FFFF LEA ECX,DWORD PTR SS:
00577E3B .C645 FC 29 MOV BYTE PTR SS:,0x29
00577E3F .FF35 24005B00 PUSH DWORD PTR DS: ;?Z<=>54Adf2ds9pdsqzQw
来到此地有发现,看来她要写数据,
打开看看这是啥?四妹帐号与密码。到此似乎断了线,前面努力要泡汤。
换个角度再尝试,开个文件来压缩,看看有啥新突破?能否发现新契机?
哇哈哈么么达,咱们又有新发现,此处发现新敌情。会员标签是什么?难道她是小控件?
请来天将搜一搜,我把妹儿瞧仔细,这里藏个小秘密,妹子暗自这样玩。
再把代码细细观,近跳远跳大跳小跳,楼下看客你来答,到底修改哪一个?
尝试修改并保存,再点压缩来测试。
0058803F .E8 2CE4FEFF CALL 傻白甜4?00576470
00588044 .83FE 01 CMP ESI,0x1
00588047 .75 09 JNZ SHORT 傻白甜4?00588052;短跳 ;不为 0 则跳转
00588049 .3970 60 CMP DWORD PTR DS:[EAX+0x>
0058804C .0F84 04010000 JE 傻白甜4?00588156 ;长跳 等于则跳转
00588052 >83BD 5CDAFFFF>CMP DWORD PTR SS:[EBP-0x>
00588059 .0F8C F7000000 JL 傻白甜4?00588156 ;长跳 有符号小于则跳转
0058805F .7F 10 JG SHORT 傻白甜4?00588071 ;过跳 有符号大于则跳转
00588061 .81BD 58DAFFFF>CMP DWORD PTR SS:[EBP-0x>
0058806B .0F86 E5000000 JBE 傻白甜4?00588156 ;长跳 ;无符号小于等于则跳转
00588071 >8BB5 6CCEFFFF MOV ESI,DWORD PTR SS:[EB>
00588077 .8B86 84070000 MOV EAX,DWORD PTR DS:[ES>
0058807D .8B96 88070000 MOV EDX,DWORD PTR DS:[ES>
00588083 .3BC2 CMP EAX,EDX
00588085 .74 2D JE SHORT 傻白甜4?005880B4 ;2段小跳,但未过
00588087 .8B8D 5CCEFFFF MOV ECX,DWORD PTR SS:[EB>
0058808D 0F DB 0F
0058808E 1F DB 1F
0058808F 00 DB 00
00588090 >3908 CMP DWORD PTR DS:,E>
00588092 .74 09 JE SHORT 傻白甜4?0058809D ;小跳
00588094 .83C0 08 ADD EAX,0x8
00588097 .3BC2 CMP EAX,EDX
00588099 .^ 75 F5 JNZ SHORT 傻白甜4?00588090;上跳
0058809B .EB 17 JMP SHORT 傻白甜4?005880B4;小跳
0058809D >8D48 08 LEA ECX,DWORD PTR DS:[EA>
005880A0 .2BD1 SUB EDX,ECX
005880A2 .52 PUSH EDX ; /n
005880A3 .51 PUSH ECX ; |src
005880A4 .50 PUSH EAX ; |dest
005880A5 .E8 34B90000 CALL <JMP.&VCRUNTIME140.>; \memmove
005880AA .83C4 0C ADD ESP,0xC
005880AD .8386 88070000>ADD DWORD PTR DS:[ESI+0x>
005880B4 >8BB5 58CEFFFF MOV ESI,DWORD PTR SS:[EB>
005880BA .8BCE MOV ECX,ESI
005880BC .68 1CE55900 PUSH 傻白甜4?0059E51C ;progress-container
005880C1 .FF15 B0905900 CALL DWORD PTR DS:[<&Dui>;DuiLib.?FindSubControl@CContainerUI@DuiLib@@QAEPAVCControlUI@2@PB_W@Z
005880C7 .6A 00 PUSH 0x0
005880C9 .8BC8 MOV ECX,EAX
005880CB .8B10 MOV EDX,DWORD PTR DS:[EA>
005880CD .FF92 F8000000 CALL DWORD PTR DS:[EDX+0>
005880D3 .68 44E55900 PUSH 傻白甜4?0059E544 ;progress-label
005880D8 .8BCE MOV ECX,ESI
005880DA .FF15 B0905900 CALL DWORD PTR DS:[<&Dui>;DuiLib.?FindSubControl@CContainerUI@DuiLib@@QAEPAVCControlUI@2@PB_W@Z
005880E0 .6A 00 PUSH 0x0
005880E2 .8BC8 MOV ECX,EAX
005880E4 .8B10 MOV EDX,DWORD PTR DS:[EA>
005880E6 .FF92 F8000000 CALL DWORD PTR DS:[EDX+0>
005880EC .68 64E55900 PUSH 傻白甜4?0059E564 ;vipLabel
005880F1 .8BCE MOV ECX,ESI
005880F3 .FF15 B0905900 CALL DWORD PTR DS:[<&Dui>;DuiLib.?FindSubControl@CContainerUI@DuiLib@@QAEPAVCControlUI@2@PB_W@Z
005880F9 .6A 01 PUSH 0x1
005880FB .8BC8 MOV ECX,EAX
005880FD .8B10 MOV EDX,DWORD PTR DS:[EA>
005880FF .FF92 F8000000 CALL DWORD PTR DS:[EDX+0>
00588105 .68 78E55900 PUSH 傻白甜4?0059E578 ;compressBtn
0058810A .8BCE MOV ECX,ESI
0058810C .FF15 B0905900 CALL DWORD PTR DS:[<&Dui>;DuiLib.?FindSubControl@CContainerUI@DuiLib@@QAEPAVCControlUI@2@PB_W@Z
《傻白甜续传》
----------------------------------------------------------------------------------------------------------------
要想让顶部出现vip字样,我们可以试着这样改
005AB6BF .E8 5CBB0000 CALL Q55.005B7220
005AB6C4 .84C0 TEST AL,AL
005AB6C6 .90 NOP
005AB6C7 .90 NOP
005AB6C8 .8B8E FC060000 MOV ECX,DWORD PTR DS:
005AB6CE .68 C0DB5C00 PUSH Q55.005CDBC0 ;续期VIP
这样改后有个问题,程序会自动退出登录状态。
开始以为我们跟一下login的过程;后来发现行不通。
吃完饭后换了个思路,我们跟下logout的过程,然后我们人为的点击退出,跟到过程之后做微创手术,不让它发生后面的行为。
这样我们无论怎么点也不会退出,当然程序自己也休想得逞了;我们再一次粉碎了敌人的阴谋诡计。
{:301_998:}
本帖最后由 冥界3大法王 于 2019-11-20 19:40 编辑
jefel 发表于 2019-11-20 18:42
@冥界3大法王,大法王,您好!我觉得亲妹妹输入法如果去掉那些烦人的广告,加强对各种操作系统的兼容性,同 ...@jefel
我也提过不少建议,但是那个两群就这么回事。
这软件用了多年,win10下bug不少。
新版本又加了新的广告,我也无语了。
反正删文件+修文件=去广告也就一分钟完活。 @冥界3大法王,大法王,您好!我觉得亲妹妹输入法如果去掉那些烦人的广告,加强对各种操作系统的兼容性,同时再精简到极致,汲取用户建议,把精力用于软件本身的开发中。作为中国人的输入法,还是不错的。完全可以建议由国家购买,国人使用。以此来提高版权意识。也为了能打造中国品牌。您看微软输入法也在免费吸引用户,只是他不太诚心而已。这也许是个双赢的办法。只是个人不成熟想法。 不会弄 也不懂 只会 顶一个啊 支持一下啊 看到了好多汇编语句,就是不懂{:1_907:} 可以6666 有点难看懂。。。 看不懂,支持一下。。 谢谢分享学习了! 有一种看天书的感觉。 文采挺好的呀{:301_987:} 看不懂 反正知道很牛逼就是了