《管家婆》标准版 v4.1.04101 网络版 模拟狗跟踪笔记
《管家婆》标准版 v4.1.04101 网络版 模拟狗跟踪笔记看到论坛里难民、Tee兄弟关于该软件的打狗教程,就产生了CCU模拟狗和教程打狗比较一下的想法,这也是我前一个时期作为安排的作业。
CCU模拟狗加了EXECryptor壳,脱壳后补狗的代码在壳段.uxop0khe里被加密了,不用这个.uxop0khe壳段如同demo版。
看来只有手动来还原补狗代码了。
从前面发的3个笔记可以看到,CCU的模拟狗还原补狗代码可以说是完全按照软件狗的流程来补的,还原补狗代码的基本形式在新版的跟踪中发现也没有根本改变,这样对于软件功能限制、暗桩排除有莫大的益处。
009B6DC0 >55 push ebp ; OEP!
009B6DC1 8BEC mov ebp,esp
009B6DC3 B9 05000000 mov ecx,5
009B6DC8 6A 00 push 0
009B6DCA 6A 00 push 0
009B6DCC 49 dec ecx
009B6DCD^ 75 F9 jnz short GraspStd.009B6DC8
009B6DCF 53 push ebx
009B6DD0 56 push esi
009B6DD1 57 push edi
009B6DD2 B8 80599B00 mov eax,GraspStd.009B5980
009B6DD7 E8 3013A5FF call GraspStd.0040810C
========================================================================================================
提示1:系统没有检测到任何加密狗,将自动进入查询版!
00643F29 A1 DC3E9E00 mov eax,dword ptr ds: ; F2 断点
00643F2E 8338 01 cmp dword ptr ds:,1 ; =1 ?
00643F31 75 45 jnz short GraspStd.00643F78 ; 不相等就跳
00643F33 84DB test bl,bl ; bl=0 ?
00643F35 75 18 jnz short GraspStd.00643F4F ; 不相等就跳
00643F39 B9 74416400 mov ecx,GraspStd.00644174 ; 提示
00643F3E BA 7C416400 mov edx,GraspStd.0064417C ; 系统没有检测到任何加密
狗,将自动进入查询版!
--------------------------------------------------------------------------------------------------------
来到这里。
005F97E3 E8 45470000 call unpacked.005FDF2D
005F97E8 83C4 24 add esp,24
005F97EB 85C0 test eax,eax
005F97ED 0F94C0 sete al
005F97F0 8846 05 mov byte ptr ds:,al
005F97F3 807E 05 00 cmp byte ptr ds:,0
005F97F7 0F84 39060000 je unpacked.005F9E36
......
005FDF2D 55 push ebp
005FDF2E 8BEC mov ebp,esp
005FDF30 53 push ebx
005FDF31 56 push esi
005FDF32 57 push edi
......
005FDFD8 68 0BDF5F00 push dumped_.005FDF0B
005FDFDD 68 8DD65F00 push dumped_.005FD68D
005FDFE2 50 push eax
005FDFE3 E8 99EFFFFF call dumped_.005FCF81 ; 这里F7进入。
005FDFE8 83C4 0C add esp,0C
005FDFEB 59 pop ecx
005FDFEC 5A pop edx
005FDFED 80FB 05 cmp bl,5
005FDFF0 75 13 jnz short dumped_.005FE005
......
005FCF81 55 push ebp ; jmp开始
005FCF82 8BEC mov ebp,esp
005FCF84 83C4 88 add esp,-78
005FCF87 53 push ebx
005FCF88 56 push esi
005FCF89 E8 EEFEFFFF call GraspStd.005FCE7C
========================================================================================================
★模拟狗全部代码★
005FCF81 /EB 00 jmp short unpacked.005FCF83 ; 开始补狗代码
005FCF83 \8A4424 04 mov al,byte ptr ss:
005FCF87 3C 01 cmp al,1 ; 无狗检测
005FCF89 75 03 jnz short unpacked.005FCF8E
005FCF8B 33C0 xor eax,eax
005FCF8D C3 retn
005FCF8E 3C 02 cmp al,2 ; 系统退出
005FCF90 75 03 jnz short unpacked.005FCF95
005FCF92 33C0 xor eax,eax
005FCF94 C3 retn
005FCF95 3C 03 cmp al,3
005FCF97 75 1C jnz short unpacked.005FCFB5
005FCF99 B8 44649D00 mov eax,unpacked.009D6444
005FCF9E 8B00 mov eax,dword ptr ds:
005FCFA0 66:8B3D 3A649D00 mov di,word ptr ds:
005FCFA7 66:8B0D 38649D00 mov cx,word ptr ds:
005FCFAE 66:83FF 06 cmp di,6
005FCFB2 75 08 jnz short unpacked.005FCFBC
005FCFB4 66:C700 3000 mov word ptr ds:,30
005FCFB9 33C0 xor eax,eax
005FCFBB C3 retn
005FCFBC 66:81FF 9300 cmp di,93
005FCFC1 75 08 jnz short unpacked.005FCFCB
005FCFC3 66:C700 BF05 mov word ptr ds:,5BF
005FCFC8 33C0 xor eax,eax
005FCFCA C3 retn
005FCFCB 66:81FF C200 cmp di,0C2
005FCFD0 75 08 jnz short unpacked.005FCFDA
005FCFD2 66:C700 5452 mov word ptr ds:,5254 ; 注册标志
005FCFD7 33C0 xor eax,eax
005FCFD9 C3 retn
005FCFDA 66:83FF 47 cmp di,47 ; 公司名称
005FCFDE 75 1E jnz short unpacked.005FCFFE
005FCFE0 C700 C1E3CEBB mov dword ptr ds:,BBCEE3C1 ; 零位
005FCFE6 C740 04 BFD5BCE4 mov dword ptr ds:,E4BCD5BF ; 空间
005FCFED C740 08 C2DBCCB3 mov dword ptr ds:,B3CCDBC2 ; 论坛
005FCFF4 C740 0C 00000000 mov dword ptr ds:,0
005FCFFB 33C0 xor eax,eax
005FCFFD C3 retn
005FCFFE 66:81FF 8D00 cmp di,8D ; 地区
005FD003 75 08 jnz short unpacked.005FD00D
005FD005 66:C700 3330 mov word ptr ds:,3033 ; 甘肃
005FD00A 33C0 xor eax,eax
005FD00C C3 retn
005FD00D 66:83FF 28 cmp di,28 ; 加密狗号
005FD011 75 10 jnz short unpacked.005FD023
005FD013 C700 36323636 mov dword ptr ds:,36363236
005FD019 C740 04 34313834 mov dword ptr ds:,34383134
005FD020 33C0 xor eax,eax
005FD022 C3 retn
005FD023 66:81FF 9700 cmp di,97 ; 日期
005FD028 75 1C jnz short unpacked.005FD046
005FD02A C700 32303035 mov dword ptr ds:,35303032 ; 2005
005FD030 C740 04 2D30312D mov dword ptr ds:,2D31302D ; -01-
005FD037 66:C740 08 3031 mov word ptr ds:,3130 ; 01
005FD03D 66:C740 0C 0000 mov word ptr ds:,0
005FD043 33C0 xor eax,eax
005FD045 C3 retn
005FD046 66:83FF 08 cmp di,8 ; 2711-1
005FD04A 75 08 jnz short unpacked.005FD054
005FD04C 66:C700 1127 mov word ptr ds:,2711
005FD051 33C0 xor eax,eax
005FD053 C3 retn
005FD054 66:83FF 0A cmp di,0A
005FD058 75 08 jnz short unpacked.005FD062
005FD05A 66:C700 1127 mov word ptr ds:,2711 ; 2711-2
005FD05F 33C0 xor eax,eax
005FD061 C3 retn
005FD062 66:83FF 00 cmp di,0
005FD066 75 03 jnz short unpacked.005FD06B
005FD068 33C0 xor eax,eax
005FD06A C3 retn
005FD06B 33C0 xor eax,eax ; 默认
005FD06D C3 retn
模拟狗二进制代码
EB 00 8A 44 24 04 3C 01 75 03 33 C0 C3 3C 02 75 03 33 C0 C3 3C 03 75 1C B8 44 64 9D 00 8B 00 66
8B 3D 3A 64 9D 00 66 8B 0D 38 64 9D 00 66 83 FF 06 75 08 66 C7 00 30 00 33 C0 C3 66 81 FF 93 00
75 08 66 C7 00 BF 05 33 C0 C3 66 81 FF C2 00 75 08 66 C7 00 54 52 33 C0 C3 66 83 FF 47 75 1E C7
00 C1 E3 CE BB C7 40 04 BF D5 BC E4 C7 40 08 C2 DB CC B3 C7 40 0C 00 00 00 00 33 C0 C3 66 81 FF
8D 00 75 08 66 C7 00 33 30 33 C0 C3 66 83 FF 28 75 10 C7 00 36 32 36 36 C7 40 04 34 31 38 34 33
C0 C3 66 81 FF 97 00 75 1C C7 00 32 30 30 35 C7 40 04 2D 30 31 2D 66 C7 40 08 30 31 66 C7 40 0C
00 00 33 C0 C3 66 83 FF 08 75 08 66 C7 00 11 27 33 C0 C3 66 83 FF 0A 75 08 66 C7 00 11 27 33 C0
C3 66 83 FF 00 75 03 33 C0 C3 33 C0 C3 谢谢楼主的无私共享 谢谢楼主的无私共享 顶顶顶 学习了 狗狗东西很少发 学习一下方法,谢谢了 请问我们自己可以做个网络版本的管家婆吗?? CCU的模拟狗还原补狗代码可以说是完全按照软件狗的流程来补的,还原补狗代码的基本形式在新版的跟踪中发现也没有根本改变,这样对于软件功能限制、暗桩排除有莫大的益处。
直接模擬狗的代碼, 確實直接又不容易出錯. 顶顶顶 学习了 狗狗东西很少发 呵呵.这个好啊 呵呵.这个好啊 感谢老大,学习了~