吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 10376|回复: 44
收起左侧

[原创] 六哈逆袭:论坛大屌做心脏移植手术无师指导全程瞎逼操作人品爆发了发贴庆祝

  [复制链接]
冥界3大法王 发表于 2021-2-2 18:08
本帖最后由 冥界3大法王 于 2021-2-14 11:05 编辑

常常看飘云阁论坛上QQ群里的表哥们做心脏移植手术(替换软件key,使老版的算法能用在最新版本里)羡慕不已(这就相当于给你家的防盗门上换了把旧锁,然后老钥匙来开门)
今天头次竟然成功了。
瞎逼操作的,没理论,没战术,更恨没有老师,没有类似的贴子,求人难,求人难,全程全凭感觉。




今天突然灵光闪现,我也要做个心脏移植手术。

费话不多说,因为找不到这方面的资料,只有自己瞎逼操作,瞎搞起来了。
由于是外行,不懂局,因为我想了想,势必先找个工具对比下吧,于是找到了BC
那就BCompare 16进制对比了。
image.png
操作一次,立马傻眼。茫茫的2进制代码中怎么就能找到关键的秘钥的那行呢?
于是我就想,这类东西,我们给它细分下。
你肯定有个作用的目标,和作用的源吧?
image.png
先到网上,或论坛上找一个最近的版本,打开它的秘钥文件。

通常有太多的软件,长着下面的标识。。。
--- BEGIN LICENSE KEY ---
--- END LICENSE KEY -----

比如著名的FTP上传工具,文件对比工具。。。。。这些年遇到的软件,那可就太多了。
然后呢,我们打开x64dbg字符串搜索
image.png
这里是行数有上万行之多,几万行里找一行,无异于是大海捞针啊。

但是你想想,即便行数再多。临近的版本也应该相差不大才是啊~~
所以,右击
image.png
我选择了到EmEditor
image.png
然后,动动脑子,先观察下,不难发现,由两列组成的
image.png
我用正则把前面第1列替换掉呢?
那不就只剩下一半的数据了?
image.png
然后再 删除重复行
image.png
然后再 排序下
image.png
最后一行,长得如此可爱呢?  我说像,长得像。太像了,像不像? 那就试试呗。

反正,没有经验,失败也是正常,成功更加惊喜。

image.png
先搜索下Begin
End之类的行
按程序临近法则
所以那行不就找到了? 这是在完全不知道的情况下


现在我们已经知道了,所以直接搜索
+11IE:keexjEP3
就定位到了~~
那到底是不是key呢?
我们做个试验来验证下
双击字串,转到地址,F2 设断
如断下,且为注册码之类的字符串出现在左下角信息窗口中
image.png
好了,现在找到了,如上面临近法则来定位第二个文件的秘钥字符串吧。
image.png
我们果然找到了哟~~
还等什么? 等挨雷么?
00000000 | 48:8D15 8C010000         | lea rdx,qword ptr ds:[BFE75C]   | 0000000000BFE75C:"++11IE:N9KmiLVlKMU7RJqnE+WXEEPI"

16进制内存区,Ctrl+G, BFE75C转到,就呈现图中所示的样子了。
我们再Shift+C, 另一个窗口,再Shift+V 就完成了二进制的复制和替换操作。
image.png
最后软件打开时会报错,因为秘钥被改变了,key被读取有关,忽略之后进到界面再注册,就会显示成功。
当然还有暗桩,还需要一个小手术就OK了。(主要是去升级、联网、黑名单)
image.png



忆往昔我的旧时光都到哪里去了?!

八哈春节版之让自动化穷举式爆破为你扫除疑云
七哈逆袭:由一条吊带外露引发的悲剧
六哈逆袭:论坛大屌做心脏移植手术
五哈QT灰按钮的爆破要点总结

四哈爆破之词典类程序爆破要点分享
三哈爆破之旅要点分享
二哈爆破要点分享:32位 and 64位
大哈:简易爆破攻略
x32dbg/x64dbg命令快速入门系列视频教学
Baymax Patch Tools(大白补丁)使用从入门到精通
盖世神器PowerPro使用教程


免费评分

参与人数 14吾爱币 +12 热心值 +12 收起 理由
wgz001 + 1 + 1 求带飞
sheldon_wxd + 1 + 1 牛牪犇!!!
wainia333 + 1 + 1 谢谢@Thanks!
Division + 2 + 1 就这名字我都得给分
xzl9552547 + 1 我很赞同!
ykbest + 1 + 1 喜欢飘云阁老表们在QQ群开车
burning + 1 谢谢@Thanks!
chjian92 + 1 用心讨论,共获提升!
小非凡 + 1 + 1 奈何我只会喊666
woshicp + 1 + 1 热心回复!
KangLi + 1 + 1 看着标题进来的。。。
Pau250 + 1 wc,你这贴名牛逼啊
G690 + 1 热心回复!
动感超人1221 + 1 + 1 用心讨论,共获提升!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Hmily 发表于 2021-2-2 18:22
这还有网络验证了,才是关键,还是爱盘的通杀版本香。。。

点评

h大,您若是有空的话能否上传几篇php webshell 样本分析的入门文章呢,想学习一下,尤其是解密和混淆这块,麻烦啦~  详情 回复 发表于 2021-2-2 18:38
 楼主| 冥界3大法王 发表于 2021-2-2 18:12
其实上面的操作,有个更简单些的方法或许可行,将x64dbg的字符串列表,复制粘出两份,再用BC来对比。
smile1110 发表于 2021-2-2 18:43
@冥界3大法王  这篇文章写的不错,澹语却别有风致,老哥
这两周神经性耳鸣我正在住院输水,过段时间带你玩点别的。


点评

建议脑部CT做一下,少熬夜,多休息  详情 回复 发表于 2021-2-4 14:16
不羁的风儿 发表于 2021-2-2 18:35
光看帖子我都头晕眼花。羡慕大佬技术
Pau250 发表于 2021-2-2 18:24
wc,你这名字吓我一跳
 楼主| 冥界3大法王 发表于 2021-2-2 18:31
Hmily 发表于 2021-2-2 18:22
这还有网络验证了,才是关键,还是爱盘的通杀版本香。。。

好是好,关键问题是姓Hmily
现成的再好,不如自己当家做主好啊。
还是自己DIY来乐趣多。
硬盘没坏前,以前Patch过黑名单吧。
再这里只是复习下功课,尝试下另外的玩法。
再简单修改下就能出厂了。

点评

黑名单应该也过不去网络验证吧?  详情 回复 发表于 2021-2-2 18:32
Hmily 发表于 2021-2-2 18:32
冥界3大法王 发表于 2021-2-2 18:31
好是好,关键问题是姓Hmily
现成的再好,不如自己当家做主好啊。
还是自己DIY来乐趣多。

黑名单应该也过不去网络验证吧?
smile1110 发表于 2021-2-2 18:38
Hmily 发表于 2021-2-2 18:22
这还有网络验证了,才是关键,还是爱盘的通杀版本香。。。

h大,您若是有空的话能否上传几篇php  webshell 样本分析的入门文章呢,想学习一下,尤其是解密和混淆这块,麻烦啦~

点评

不懂,自己搜搜PHP解密,论坛不少精华帖。  详情 回复 发表于 2021-2-2 18:44
Hmily 发表于 2021-2-2 18:44
smile1110 发表于 2021-2-2 18:38
h大,您若是有空的话能否上传几篇php  webshell 样本分析的入门文章呢,想学习一下,尤其是解密和混淆这 ...

不懂,自己搜搜PHP解密,论坛不少精华帖。

点评

老哥,您有空能否录制几期 木马和病毒 手把手 教学分析录像呢,我想偷偷老哥的师~  详情 回复 发表于 2021-2-2 18:52
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-23 22:31

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表