新人尝试爆破某外挂网络验证以及更新检测

尼桑 · 发表于 2020-2-13 09:57

本帖最后由尼桑于 2020-2-13 10:32 编辑

新人第一次发帖，做的不好，大佬勿喷
(其实我也不算新人了，注册3年了，这期间一直没发过帖子)

0x01 前言

今天在网上突然发现了一个外挂软件，具体名称就不说了，在我打开的时候，发现这软件付费，而且还有更新检测。
于是，这篇帖子诞生了。

0x02 破解过程

先拖入PEID查壳：
捕获20.PNG

Microsoft Visual C++ 6.0
没壳，软柿子啊！
赶紧拖入OD，来到入口点：
捕获1.PNG

先运行一下，登陆：

过期

直接提示“程序已更新”
那我们就搜索这个字符串
右键---中文搜索引擎---智能搜索，
Ctrl + F 搜索：
捕获2.PNG

搜到了，点进去看看：
捕获3.PNG

一大堆跳转。。。先下断点。
再次登陆，断下了：
捕获5.PNG

先运行到返回，F8单步，
来到这里：
捕获6.PNG

附近没有什么关键的跳转。
那怎么办？
捕获7.PNG

我注意到：刚刚的那一堆跳转都是登陆失败的提示
就是说明：关键的跳转在上面！
那就不停向上滑
捕获21.PNG

注意到了一个字符串：“登陆成功！”

也就是说这就是登陆成功时运行的代码
继续往上滑
捕获9.PNG

发现一个长跳转，它正好跳过了刚刚的“登陆成功！”

把这个JNZ改成NOP试试！(JE是有条件跳转，而NOP是一个空指令，计算机执行NOP指令不会做任何事情)
捕获10.PNG

右键---汇编

成功了！(-102是因为服务器失效)
主界面：
捕获13.PNG

最后就是保存文件了：
右键---复制到可执行文件---所有修改---全部复制
右键---保存文件
捕获14.PNG

0x03 小结

爆破程序的基本思路就是：先找到关键的字符串，之后分析代码，找关键跳，把它NOP掉或者改成JMP，具体看情况，最后保存。

END

尼桑 · 发表于 2020-2-14 07:47

本帖最后由尼桑于 2020-2-14 07:54 编辑

跌宕起伏发表于 2020-2-13 22:35
看着错误call很像一个网络验证的模板

就是网络验证，而且没壳，我看字符串里有E盾
捕获29.PNG

(这东西发表不会有事吧)

aoshixiaoyou · 发表于 2020-2-13 12:02

桂花糕乀发表于 2020-2-13 10:41
这个正好需要，我现在这个也是需要网络验证，需要卡密，借鉴思路

这有啥思路。啥商业挂这简单。不套壳代码也不v. 当作者吃白饭的啊

若是丶久宅 · 发表于 2020-2-13 10:00

提醒楼主，PEID带QQ号码了，不知道会不会被说什么。

a532633385 · 发表于 2020-2-13 10:04

支持技术贴

尼桑 · 发表于 2020-2-13 10:09

若是丶久宅发表于 2020-2-13 10:00
提醒楼主，PEID带QQ号码了，不知道会不会被说什么。

没看见，改过来了

0632 · 发表于 2020-2-13 10:11

不错，学习才能进步

一只沙雕网友 · 发表于 2020-2-13 10:12

感谢大佬！

天尊小帅 · 发表于 2020-2-13 10:14

尼桑发表于 2020-2-13 10:09
没看见，改过来了

楼主，中间那两个图片，eax寄存器的QQ也没打码

尼桑 · 发表于 2020-2-13 10:19

天尊小帅发表于 2020-2-13 10:14
楼主，中间那两个图片，eax寄存器的QQ也没打码

改了。。。以后我就只截反汇编窗口的东西吧。。

ectxt · 发表于 2020-2-13 10:29

支持技术贴

342137296 · 发表于 2020-2-13 10:29

学习了谢谢

帐号		自动登录	找回密码
密码			注册[Register]

[原创] 新人尝试爆破某外挂网络验证以及更新检测