一个.net的油卡查询软件

happyhg · 发表于 2021-1-17 16:17

本帖最后由 happyhg 于 2021-1-18 15:32 编辑

最近遇到一个油卡查询软件，PEID提示为：VC8 -> Microsoft Corporation *

用OD调试时，无字符串，查找按钮事件也无法查到。

现求坛子里的大神提供一点思路，为谢。

软件地址： https://pan.baidu.com/s/1iAx3BbNmGm0LWbeAKQXDuQ 提取码: 4776

苏紫方璇 · 发表于 2021-1-17 17:44

.net的程序，混淆了

happyhg · 发表于 2021-1-17 17:52

苏紫方璇发表于 2021-1-17 17:44
.net的程序，混淆了

有办法跟踪吗？我一载入就显示已终止，是OD版本的原因吗？

wgz001 · 发表于 2021-1-17 18:12

换OD最好的选择

happyhg · 发表于 2021-1-17 18:40

wgz001 发表于 2021-1-17 18:12
换OD最好的选择

什么od好用？求下载地址 win64能用的

vipcrack · 发表于 2021-1-17 20:21

本帖最后由 vipcrack 于 2021-1-17 20:28 编辑

好像联网处理的，找个最新版的de4dot去混淆，然后用dnspy来看代码

public static AuthorModel Authord()
      {
            HttpHelper httpHelper = new HttpHelper();
            HttpResult html = httpHelper.GetHtml(new HttpItem
            {
                     URL = "http://app.plciot.com:8889/soft_auth",
                     Postdata = JsonConvert.SerializeObject(new AuthorInfo
                     {
                              action = AuthorEx._ACTION,
                              machine = AuthorEx.MD5(AuthorEx.getComputerInfo())
                     }),
                     Method = "POST",
                     ContentType = "application/json",
                     UserAgent = "Mozilla/5.0 (Linux; Android 4.4.2; 2014821 Build/KTU84P) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/30.0.0.0 Mobile Safari/537.36"
            });
            AuthorModel authorModel = null;
            try
            {
                     authorModel = JsonConvert.DeserializeObject<AuthorModel>(html.Html);
                     authorModel = ((authorModel == null) ? new AuthorModel() : authorModel);
            }
            catch
            {
                     authorModel = ((authorModel == null) ? new AuthorModel() : authorModel);
            }
            return authorModel;
      }

private void method_10()
            {
                     AuthorModel authorModel = AuthorEx.Authord();
                     if (authorModel.result)
                     {
                              NlogHelper.Logger.Info("授权成功...");
                              Form1.VALID_SERVER_FLAG = true;
                              if (!Directory.Exists("油卡查询" + DateTime.Now.ToLongDateString().ToString()))
                              {
                                    Directory.CreateDirectory("油卡查询" + DateTime.Now.ToLongDateString().ToString());
                              }
                              Query_Config query_Config = AuthorEx.Config();
                              if (query_Config.pid != "")
                              {
                                    this.textBox_2.Text = query_Config.auth;
                                    this.textBox_1.Text = query_Config.pid;
                                    this.button7.Enabled = true;
                                    NlogHelper.Logger.Info("初始化成功...");
                              }
                              else
                              {
                                    MessageBox.Show("初始化失败联系管理员:QQ260114102", "系统提示", MessageBoxButtons.OK, MessageBoxIcon.Exclamation);
                              }
                     }
                     else
                     {
                              Form1.VALID_SERVER_FLAG = false;
                              MessageBox.Show("授权码已经复制到剪贴板：[" + AuthorEx.MD5(AuthorEx.getComputerInfo()) + "]过期; 提示:" + authorModel.msg, "系统提示", MessageBoxButtons.OK, MessageBoxIcon.Exclamation);
                     }
            }

public bool result
{
      get
      {
         return this.bool_0 && this.sign == AuthorEx.MD5(this.time + "salt=no1x");
      }
      set
      {
         this.bool_0 = value;
      }

温柔 · 发表于 2021-1-17 20:56

所以只要楼上那个方法直接返回true就可以爆破了

或者是本机伪造下返回值，result的false改成true就好

happyhg · 发表于 2021-1-18 15:13

感谢大牛

帐号		自动登录	找回密码
密码			注册[Register]

[求助] 一个.net的油卡查询软件

免费评分