本帖最后由 冥界3大法王 于 2022-11-27 21:33 编辑
用百度那饭桶搜索出一网页.
点击打开就看到了这!
再点高级,就会看到证书的过期时间(心里记录一下),到系统时钟里修改成那天,网页就打开了。
也就是说什么时钟快了,完全在扯犊子么,只是网页的制作者的证书又该续费了。。。
所以咱们就用x64dbg来解决这个问题吧。
不然改来改去,多麻烦啊。。。
百度净给蒙爹的答案。
还是法王姥爷教授大家如何手术治愈吧。
不喜欢时间改来改去的,所以说楼主痛的,你的才痛呢~~
费话说完,开始动手:
用x64dbg直接打开,建议到虚拟里,重新拷贝一个chrome复本过去,并删除掉配置
不然启动一堆网页一堆进程,怎么调试的明白?
直接F9让程序运行起来,此时chrome.dll 才会被加载
Alt+E模块窗口中双击 chrome.dll 并搜索字符串
第1次是 clock
第2次是 Certificat
接下来,去网页中打开那个链接https://www.delphitop.com/html/kongjian/5519.html吧。
在上面的证书相关的断点列表中,会被断到多处。
上来第一次调试先断着看,因为并不知接下来出现啥?
接下来,顺势往下走,走到上面的地方,该是可疑的地方不远了。
这里有些用了,记录下来
[Asm] 纯文本查看 复制代码 000007FEE578D0C | 75 2F | jne chrome.7FEE578D0FE |
000007FEE578D0C | C74424 20 01000000 | mov dword ptr ss:[rsp+20],1 |
000007FEE578D0D | 48:8D0D FA6F7703 | lea rcx,qword ptr ds:[7FEE8F040D8] | 000007FEE8F040D8:"interstitial.ssl.clockstate.network3"
000007FEE578D0D | BA 01000000 | mov edx,1 |
000007FEE578D0E | 41:B8 09000000 | mov r8d,9 | 9:'\t'
000007FEE578D0E | 41:B9 0A000000 | mov r9d,A | A:'\n'
000007FEE578D0E | E8 1C4C0FFC | call chrome.7FEE1881D10 |
000007FEE578D0F | 48:89C1 | mov rcx,rax |
000007FEE578D0F | 48:8905 AA411404 | mov qword ptr ds:[7FEE98D12A8],rax |
000007FEE578D0F | 48:8B01 | mov rax,qword ptr ds:[rcx] |
000007FEE578D10 | 89FA | mov edx,edi |
000007FEE578D10 | FF50 28 | call qword ptr ds:[rax+28] |
000007FEE578D10 | 48:8B0D A3411404 | mov rcx,qword ptr ds:[7FEE98D12B0] |
000007FEE578D10 | 48:85C9 | test rcx,rcx |
000007FEE578D11 | 75 2F | jne chrome.7FEE578D141 |
000007FEE578D11 | C74424 20 01000000 | mov dword ptr ss:[rsp+20],1 |
000007FEE578D11 | 48:8D0D DC6F7703 | lea rcx,qword ptr ds:[7FEE8F040FD] | 000007FEE8F040FD:"interstitial.ssl.clockstate.build_time"
向F8 单步向下走
上面有个bad_clock
[Asm] 纯文本查看 复制代码 000007FEE4B2AAB | 48:8BBC24 F8000000 | mov rdi,qword ptr ss:[rsp+F8] | [rsp+F8]:&"https://www.delphitop.com/html/kongjian/5519.html"
000007FEE4B2AAB | 48:8B05 0380C304 | mov rax,qword ptr ds:[7FEE9762AC8] |
000007FEE4B2AAC | 48:31E0 | xor rax,rsp |
000007FEE4B2AAC | 48:898424 80000000 | mov qword ptr ss:[rsp+80],rax |
000007FEE4B2AAD | 48:8D15 B0131404 | lea rdx,qword ptr ds:[7FEE8C6BE87] | rdx:"bad_clock", 000007FEE8C6BE87:"bad_clock"
000007FEE4B2AAD | 48:8D6C24 50 | lea rbp,qword ptr ss:[rsp+50] |
000007FEE4B2AAD | 48:89E9 | mov rcx,rbp |
000007FEE4B2AAD | E8 567AD3FC | call chrome.7FEE186253A |
000007FEE4B2AAE | C64424 20 00 | mov byte ptr ss:[rsp+20],0 |
000007FEE4B2AAE | 4C:8D6424 68 | lea r12,qword ptr ss:[rsp+68] |
000007FEE4B2AAE | 4C:89E1 | mov rcx,r12 |
000007FEE4B2AAF | 48:89DA | mov rdx,rbx | rdx:"bad_clock"
000007FEE4B2AAF | 49:89F8 | mov r8,rdi | rdi:&"https://www.delphitop.com/html/kongjian/5519.html"
接下来,点网页中的调用系统时钟时,调到下面的地方 :
[Asm] 纯文本查看 复制代码 000007FEE482E7D | 48:8D05 9BD74304 | lea rax,qword ptr ds:[7FEE8C6BF74] | 000007FEE8C6BF74:"SSLInterstitial.Advanced"
000007FEE482E7D | EB 7B | jmp chrome.7FEE482E856 |
000007FEE482E7D | 41:0FB687 97000000 | movzx eax,byte ptr ds:[r15+97] |
000007FEE482E7E | 84C0 | test al,al |
000007FEE482E7E | 79 07 | jns chrome.7FEE482E7EE |
000007FEE482E7E | 49:8B87 88000000 | mov rax,qword ptr ds:[r15+88] |
000007FEE482E7E | 48:83F8 09 | cmp rax,9 | 9:'\t'
000007FEE482E7F | 75 6F | jne chrome.7FEE482E863 |
000007FEE482E7F | 48:C74424 20 09000000 | mov qword ptr ss:[rsp+20],9 | 9:'\t'
000007FEE482E7F | 4C:8D0D 83D64304 | lea r9,qword ptr ds:[7FEE8C6BE87] | r9:"bad_clock", 000007FEE8C6BE87:"bad_clock"
继续先记录。。。
系统时钟修改完之后,再次打开网页,看这次又是断到了何处?
这次断到了这里。
[Asm] 纯文本查看 复制代码 000007FEE578D11 | 75 2F | jne chrome.7FEE578D141 | yes
000007FEE578D11 | C74424 20 01000000 | mov dword ptr ss:[rsp+20],1 |
000007FEE578D11 | 48:8D0D DC6F7703 | lea rcx,qword ptr ds:[7FEE8F040FD] | 000007FEE8F040FD:"interstitial.ssl.clockstate.build_time"
000007FEE578D12 | BA 01000000 | mov edx,1 |
000007FEE578D12 | 41:B8 04000000 | mov r8d,4 |
000007FEE578D12 | 41:B9 05000000 | mov r9d,5 | r9d:&"PE"
000007FEE578D13 | E8 D94B0FFC | call chrome.7FEE1881D10 |
000007FEE578D13 | 48:89C1 | mov rcx,rax |
000007FEE578D13 | 48:8905 6F411404 | mov qword ptr ds:[7FEE98D12B0],rax |
000007FEE578D14 | 48:8B01 | mov rax,qword ptr ds:[rcx] |
000007FEE578D14 | 89F2 | mov edx,esi |
000007FEE578D14 | FF50 28 | call qword ptr ds:[rax+28] |
000007FEE578D14 | FFCF | dec edi |
000007FEE578D14 | 83FF 08 | cmp edi,8 |
000007FEE578D14 | 77 17 | ja chrome.7FEE578D167 | keyi 1)修改这里成功了
ja==>改成jmp
改完之后,出来了这,还需要点一次【高级、继续前往】。。。
也就是说大体的思路是正确的,细节还需要再分析下,或许可以更进一步。
那我们接着修改。。。
interstitial.ssl_nonoverrIDAble.is_recurrent_error.ct_error
CERT_DATE_INVALID
最后放出遇到此问题的作弊码:回复后可见。
懒鬼和不会逆向的朋友可以自己尝试。
在上述链接中先按F5刷新,接着在页面数中输入作弊码thisisunsafe,即可直接通关。 |