傻白甜四号妹的拆解：

冥界3大法王 · 发表于 2019-11-20 10:00

本帖最后由冥界3大法王于 2019-11-20 14:13 编辑

四妹长得很清秀，登录开通解限制。

打开偶弟搜一搜，敌力分布瞧清晰，利用筛选来归类，一目了然看明白。

00576C34       PUSH 傻白甜4?0059DB84       is_vip_available
00577C73       PUSH 傻白甜4?0059DB84       is_vip_available
0057B59B       PUSH 傻白甜4?0059DB84       is_vip_available
00591BCF       PUSH 傻白甜4?0059DB84       is_vip_available 5个都调用了 4?0059DB84

00576C8B       PUSH 傻白甜4?0059DBC0       续期VIP
0057814F       PUSH 傻白甜4?0059DBC0       续期VIP
0057B6CE       PUSH 傻白甜4?0059DBC0       续期VIP
0057DB12       PUSH 傻白甜4?0059DBC0       续期VIP
00591C2C       PUSH 傻白甜4?0059DBC0       续期VIP             5个都调用了4?0059DBC0

0057DB0B       PUSH 傻白甜4?0059EA34       开通VIP
0058C034       PUSH 傻白甜4?0059EA34       开通VIP
0058C3BE       PUSH 傻白甜4?0059EA34       开通VIP

00587514       PUSH 傻白甜4?0059E564       vipLabel
005875B9       PUSH 傻白甜4?0059E564       vipLabel
005880EC       PUSH 傻白甜4?0059E564       vipLabel
005881A5       PUSH 傻白甜4?0059E564       vipLabel
0058823D       PUSH 傻白甜4?0059E564       vipLabel          5个都调用了4?0059E564

0057CF50       PUSH 傻白甜4?0059F5B0       vip
0058BA90       PUSH 傻白甜4?0059F5B0       vip
0058BFD8       PUSH 傻白甜4?0059F5B0       vip                5个都调用了4?0059F5B0

0058BAA0       PUSH 傻白甜4?005A0120       againVip
0058C060       PUSH 傻白甜4?005A0120       againVip       2个都调用了4?005A0120

0058BD79       PUSH 傻白甜4?005A01D0       VIP会员       1个调用了4?005A0120

归类之后变简单，尝试下断跟一跟，动态分析找端倪，试图再找新线索。

明显不是出得早，排除断点向下跟。我们先从登录来，看看是否有发现。

点击登录会断下，别忙修改往下走，假码假号都出现，我们继续向下跟。

[Asm] 纯文本查看 复制代码

00577D90   .  FFB5 84F7FFFF PUSH DWORD PTR SS:[EBP-0x87C]               ; /n
00577D96   .  8BF0          MOV ESI,EAX                                 ; |
00577D98   .  6A 00         PUSH 0x0                                    ; |c = 00
00577D9A   .  56            PUSH ESI                                    ; |s
00577D9B   .  89B5 68F7FFFF MOV DWORD PTR SS:[EBP-0x898],ESI            ; |ESI=04EEB2F8, (ASCII "POST /v1/login?timestamp=2254765851")
00577DA1   .  E8 50BC0100   CALL <JMP.&VCRUNTIME140.memset>             ; \memset
00577DA6   .  837D A4 10    CMP DWORD PTR SS:[EBP-0x5C],0x10
00577DAA   .  8D4D 90       LEA ECX,DWORD PTR SS:[EBP-0x70]
00577DAD   .  0F434D 90     CMOVNB ECX,DWORD PTR SS:[EBP-0x70]
00577DB1   .  51            PUSH ECX
00577DB2   .  FFB5 84F7FFFF PUSH DWORD PTR SS:[EBP-0x87C]
00577DB8   .  56            PUSH ESI
00577DB9   .  FF15 B0985900 CALL DWORD PTR DS:[<&api-ms-win-crt-string->;  ucrtbase.strcpy_s
00577DBF   .  8B8D 80F7FFFF MOV ECX,DWORD PTR SS:[EBP-0x880]
00577DC5   .  B8 10000000   MOV EAX,0x10
00577DCA   .  83E1 0F       AND ECX,0xF
00577DCD   .  83C4 1C       ADD ESP,0x1C
00577DD0   .  2BC1          SUB EAX,ECX
00577DD2   .  85C0          TEST EAX,EAX
00577DD4   .  7E 26         JLE SHORT 傻白甜4?00577DFC
00577DD6   .  C1E7 04       SHL EDI,0x4
00577DD9   .  03F9          ADD EDI,ECX
00577DDB   .  8BC8          MOV ECX,EAX
00577DDD   .  03FE          ADD EDI,ESI
00577DDF   .  0FB6C0        MOVZX EAX,AL
00577DE2   .  8BF1          MOV ESI,ECX
00577DE4   .  69C0 01010101 IMUL EAX,EAX,0x1010101
00577DEA   .  C1E9 02       SHR ECX,0x2
00577DED   .  F3:AB         REP STOS DWORD PTR ES:[EDI]
00577DEF   .  8BCE          MOV ECX,ESI
00577DF1   .  8BB5 68F7FFFF MOV ESI,DWORD PTR SS:[EBP-0x898]
00577DF7   .  83E1 03       AND ECX,0x3
00577DFA   .  F3:AA         REP STOS BYTE PTR ES:[EDI]
00577DFC   >  8BBD 6CF7FFFF MOV EDI,DWORD PTR SS:[EBP-0x894]
00577E02   .  8D47 01       LEA EAX,DWORD PTR DS:[EDI+0x1]
00577E05   .  C60437 00     MOV BYTE PTR DS:[EDI+ESI],0x0
00577E09   .  50            PUSH EAX
00577E0A   .  E8 89AC0100   CALL 傻白甜4?00592A98
00577E0F   .  8BF0          MOV ESI,EAX
00577E11   .  8D47 01       LEA EAX,DWORD PTR DS:[EDI+0x1]
00577E14   .  50            PUSH EAX                                    ; /n
00577E15   .  6A 00         PUSH 0x0                                    ; |c = 00
00577E17   .  56            PUSH ESI                                    ; |s
00577E18   .  E8 D9BB0100   CALL <JMP.&VCRUNTIME140.memset>             ; \memset
00577E1D   .  83C4 10       ADD ESP,0x10
00577E20   .  8D8D 8CF7FFFF LEA ECX,DWORD PTR SS:[EBP-0x874]
00577E26   .  E8 4546FFFF   CALL 傻白甜4?0056C470
00577E2B   .  6A 10         PUSH 0x10
00577E2D   .  6A 10         PUSH 0x10
00577E2F   .  FF35 28005B00 PUSH DWORD PTR DS:[0x5B0028]                ;  34kisdafAMN3zsTy
00577E35   .  8D8D 8CF7FFFF LEA ECX,DWORD PTR SS:[EBP-0x874]
00577E3B   .  C645 FC 29    MOV BYTE PTR SS:[EBP-0x4],0x29
00577E3F   .  FF35 24005B00 PUSH DWORD PTR DS:[0x5B0024]                ;  ?Z<=>54Adf2ds9pdsqzQw

来到此地有发现，看来她要写数据，

打开看看这是啥？四妹帐号与密码。到此似乎断了线，前面努力要泡汤。

换个角度再尝试，开个文件来压缩，看看有啥新突破？能否发现新契机？

哇哈哈么么达，咱们又有新发现，此处发现新敌情。会员标签是什么？难道她是小控件？

请来天将搜一搜，我把妹儿瞧仔细，这里藏个小秘密，妹子暗自这样玩。

再把代码细细观，近跳远跳大跳小跳，楼下看客你来答，到底修改哪一个？
尝试修改并保存，再点压缩来测试。
0058803F .  E8 2CE4FEFF CALL 傻白甜4?00576470
00588044 .  83FE 01    CMP ESI,0x1
00588047 .  75 09       JNZ SHORT 傻白甜4?00588052  ;  短跳       ;不为 0 则跳转
00588049 .  3970 60    CMP DWORD PTR DS:[EAX+0x>
0058804C .  0F84 04010000 JE 傻白甜4?00588156       ;  长跳       等于则跳转
00588052 >  83BD 5CDAFFFF>CMP DWORD PTR SS:[EBP-0x>
00588059 .  0F8C F7000000 JL 傻白甜4?00588156       ;  长跳       有符号小于则跳转
0058805F .  7F 10       JG SHORT 傻白甜4?00588071 ;  过跳          有符号大于则跳转
00588061 .  81BD 58DAFFFF>CMP DWORD PTR SS:[EBP-0x>
0058806B .  0F86 E5000000 JBE 傻白甜4?00588156       ;  长跳    ;无符号小于等于则跳转
00588071 >  8BB5 6CCEFFFF MOV ESI,DWORD PTR SS:[EB>
00588077 .  8B86 84070000 MOV EAX,DWORD PTR DS:[ES>
0058807D .  8B96 88070000 MOV EDX,DWORD PTR DS:[ES>
00588083 .  3BC2       CMP EAX,EDX
00588085 .  74 2D       JE SHORT 傻白甜4?005880B4 ;  2段小跳，但未过
00588087 .  8B8D 5CCEFFFF MOV ECX,DWORD PTR SS:[EB>
0058808D    0F          DB 0F
0058808E    1F          DB 1F
0058808F    00          DB 00
00588090 >  3908       CMP DWORD PTR DS:[EAX],E>
00588092 .  74 09       JE SHORT 傻白甜4?0058809D ;  小跳
00588094 .  83C0 08    ADD EAX,0x8
00588097 .  3BC2       CMP EAX,EDX
00588099 .^ 75 F5       JNZ SHORT 傻白甜4?00588090  ;  上跳
0058809B .  EB 17       JMP SHORT 傻白甜4?005880B4  ;  小跳
0058809D >  8D48 08    LEA ECX,DWORD PTR DS:[EA>
005880A0 .  2BD1       SUB EDX,ECX
005880A2 .  52          PUSH EDX                ; /n
005880A3 .  51          PUSH ECX                ; |src
005880A4 .  50          PUSH EAX                ; |dest
005880A5 .  E8 34B90000 CALL <JMP.&VCRUNTIME140.>; \memmove
005880AA .  83C4 0C    ADD ESP,0xC
005880AD .  8386 88070000>ADD DWORD PTR DS:[ESI+0x>
005880B4 >  8BB5 58CEFFFF MOV ESI,DWORD PTR SS:[EB>
005880BA .  8BCE       MOV ECX,ESI
005880BC .  68 1CE55900 PUSH 傻白甜4?0059E51C    ;  progress-container
005880C1 .  FF15 B0905900 CALL DWORD PTR DS:[<&Dui>;  DuiLib.?FindSubControl@CContainerUI@DuiLib@@QAEPAVCControlUI@2@PB_W@Z
005880C7 .  6A 00       PUSH 0x0
005880C9 .  8BC8       MOV ECX,EAX
005880CB .  8B10       MOV EDX,DWORD PTR DS:[EA>
005880CD .  FF92 F8000000 CALL DWORD PTR DS:[EDX+0>
005880D3 .  68 44E55900 PUSH 傻白甜4?0059E544    ;  progress-label
005880D8 .  8BCE       MOV ECX,ESI
005880DA .  FF15 B0905900 CALL DWORD PTR DS:[<&Dui>;  DuiLib.?FindSubControl@CContainerUI@DuiLib@@QAEPAVCControlUI@2@PB_W@Z
005880E0 .  6A 00       PUSH 0x0
005880E2 .  8BC8       MOV ECX,EAX
005880E4 .  8B10       MOV EDX,DWORD PTR DS:[EA>
005880E6 .  FF92 F8000000 CALL DWORD PTR DS:[EDX+0>
005880EC .  68 64E55900 PUSH 傻白甜4?0059E564    ;  vipLabel
005880F1 .  8BCE       MOV ECX,ESI
005880F3 .  FF15 B0905900 CALL DWORD PTR DS:[<&Dui>;  DuiLib.?FindSubControl@CContainerUI@DuiLib@@QAEPAVCControlUI@2@PB_W@Z
005880F9 .  6A 01       PUSH 0x1
005880FB .  8BC8       MOV ECX,EAX
005880FD .  8B10       MOV EDX,DWORD PTR DS:[EA>
005880FF .  FF92 F8000000 CALL DWORD PTR DS:[EDX+0>
00588105 .  68 78E55900 PUSH 傻白甜4?0059E578    ;  compressBtn
0058810A .  8BCE       MOV ECX,ESI
0058810C .  FF15 B0905900 CALL DWORD PTR DS:[<&Dui>;  DuiLib.?FindSubControl@CContainerUI@DuiLib@@QAEPAVCControlUI@2@PB_W@Z

《傻白甜续传》
----------------------------------------------------------------------------------------------------------------

要想让顶部出现vip字样，我们可以试着这样改

[Asm] 纯文本查看 复制代码

005AB6BF   .  E8 5CBB0000              CALL Q55.005B7220
005AB6C4   .  84C0                     TEST AL,AL
005AB6C6   .  90                       NOP
005AB6C7   .  90                       NOP
005AB6C8   .  8B8E FC060000            MOV ECX,DWORD PTR DS:[ESI+0x6FC]
005AB6CE   .  68 C0DB5C00              PUSH Q55.005CDBC0                          ;  续期VIP

这样改后有个问题，程序会自动退出登录状态。
开始以为我们跟一下login的过程；后来发现行不通。
吃完饭后换了个思路，我们跟下logout的过程，然后我们人为的点击退出，跟到过程之后做微创手术，不让它发生后面的行为。

这样我们无论怎么点也不会退出，当然程序自己也休想得逞了；我们再一次粉碎了敌人的阴谋诡计。

冥界3大法王 · 发表于 2019-11-20 19:19

本帖最后由冥界3大法王于 2019-11-20 19:40 编辑

jefel 发表于 2019-11-20 18:42
@冥界3大法王，大法王，您好！我觉得亲妹妹输入法如果去掉那些烦人的广告，加强对各种操作系统的兼容性，同 ...

@jefel
我也提过不少建议，但是那个两群就这么回事。
这软件用了多年，win10下bug不少。
新版本又加了新的广告，我也无语了。
反正删文件+修文件=去广告也就一分钟完活。

jefel · 发表于 2019-11-20 18:42

@冥界3大法王，大法王，您好！我觉得亲妹妹输入法如果去掉那些烦人的广告，加强对各种操作系统的兼容性，同时再精简到极致，汲取用户建议，把精力用于软件本身的开发中。作为中国人的输入法，还是不错的。完全可以建议由国家购买，国人使用。以此来提高版权意识。也为了能打造中国品牌。您看微软输入法也在免费吸引用户，只是他不太诚心而已。这也许是个双赢的办法。只是个人不成熟想法。

dcx800 · 发表于 2019-11-20 10:04

不会弄也不懂只会顶一个啊支持一下啊

我乃小明 · 发表于 2019-11-20 10:11

看到了好多汇编语句，就是不懂

qxxai · 发表于 2019-11-20 10:18

可以6666

touma1 · 发表于 2019-11-20 10:31

有点难看懂。。。

jzm713 · 发表于 2019-11-20 10:33

看不懂，支持一下。。

dyong1 · 发表于 2019-11-20 10:35

谢谢分享学习了！

祈鸢 · 发表于 2019-11-20 10:41

有一种看天书的感觉。

甘愿堕落 · 发表于 2019-11-20 10:41

文采挺好的呀

啧啧是你哎 · 发表于 2019-11-20 10:42

看不懂反正知道很牛逼就是了

帐号		自动登录	找回密码
密码			注册[Register]

[原创] 傻白甜四号妹的拆解：

免费评分

免费评分