XX成员提取工具破解教程 - 破解导出星号限制
本帖最后由 Kido 于 2019-6-6 18:28 编辑原帖地址-https://www.52pojie.cn/thread-910841-1-1.html
帖主把搜索限制搞掉了.限制一百个群.那么我就处理一下导出星号的问题.
首先限制一百的问题.搜索试用字符串,看哪些给0x64 0x63比对盘掉就行.
我是宁错杀一千不放过一个.{:1_907:}
虽然原帖主只干最后一个就行.但我不放心.该干全干了.
然后就是搜索群成员和导出问题.(其实搜索时出现星号,导出肯定也有星号)
然后就是我通过抓包.看出,抓取群成员并未访问网络,那只有一种可能就是在搜索群时,把群成员也下载下来了.
那这就好分析了.星号只有两种可能,第一种就是数据库中就直接是试用的,全是带星号的QQ号.
第二种就是下载下来群信息,搜索成员时处理了这些QQ号,
经过我上数据库发现数据库中并未处理,都是正常QQ号.那就只有可能是本地在处理了.
那还楞着干嘛,盘它呀.
最简单的方法就是搜索程序字符串,找星号
经过分析这个代码段比较可疑,好多星号,还有什么%d的.学过C的都应该知道啥意思了.我很菜,没精通C.
把图中的所有*号下断点.调戏跟踪下.
第一个星号断下.这里看寄存器,明显就是* 是分隔符,往下跟.
从堆栈窗口看到这里就有问题了.它先从QQ里偷掉了两个数字.
那上面的CALL肯定有问题呀.意大利炮盘它,
接着往下走,运行到此处后,看寄存器QQ号已经被加工过,那上面的CALL肯定也是有问题的.上NOP盘它.
目测就这么多.把所有修改保存到可执行文件.
运行看看.
没有问题,Nice.
天下 发表于 2019-3-26 13:14
我怎么感觉那个ret8 返回的是处理过后的QQ号长度呢.没试.你试下.你说的没错.的确是Demo,但是可以修改的.
0040AD98|.6A 02 ||push 0x2
0040AD9A|.6A 01 ||push 0x1
0040AD9C|.B9 E4935D00 ||mov ecx,小牛不加.005D93E4
0040ADA1|.E8 1AEF0000 ||call 小牛不加.00419CC0
这个CALL是删除掉从索引为1开始的2个数据,处理后放到005D93E4里面指针指向的内容
005D93E4里面指针指向的内容假如原来是1234567890,那么这个CALL走过后,
就变成了14567890。
而
0040ADCB|.50 ||push eax
0040ADCC|.6A 01 ||push 0x1
0040ADCE|.B9 E4935D00 ||mov ecx,小牛不加.005D93E4
0040ADD3|.E8 B8F00000 ||call 小牛不加.00419E90 ;进CALL,ret 8
这个CALL就是对14567890这个字符串,进行一个从索引为1的位置插入一个*就变成了1*4567890,所以这个CALL
就是插入*的。
我修改的方法就是,修改两个参数都为0,不让它删除2个数据,即让他删除0个数据,就相当于什么都不删除,之后,这个插入*号的CALL让它失效。 朱朱你堕落了 发表于 2019-3-26 15:01
0040AD98|.6A 02 ||push 0x2
0040AD9A|.6A 01 ||push 0x1
0040AD9C|.B9 E ...
00429F7F .FF55 F8 call dword ptr ss: ;小牛不加.00416790 这个call就是他的按钮事件 所有的东西都调用这个call 感谢分享,学习了 楼主辛苦,软件在哪里下呢? 小白三连:大佬、牛逼、链接呢{:1_918:} 不服,就盘它 发个实体 为什么我说demo版本呢,我感觉我也说得说错,如果是正式版,这个*上面应该有个判断,应该是可以跳过去的,但是很明显并没有,只能我们自己处理,而且注册框什么的并没有什么卵用,当然我没具体看,
但是看着感觉就是demo,应该只是放出来让人试用的,如果购买就联系作者,我感觉他一定会给个正式版。
楼主直接NOP一大串修改,带有重定位,应该是VC写的,最好修改保存后,用去掉ASLR,我也说下我的修改方法。
希望大佬指点。 说真的,我看不懂!真正摸索学习中!希望大佬不厌其烦的指导! 能不能发个差评研究一下 吸引我的是签名档。技术也是杠杠的