某飘零3.5商业版山寨+去除功能暗桩

stucky · 发表于 2013-7-23 10:40

本帖最后由 stucky 于 2013-7-23 10:41 编辑

[AppleScript] 纯文本查看 复制代码

大家好 我是stucky
好久没有给大家带来视频了
这次给大家带来某飘零3.5商业版山寨+去除功能暗桩
现在作者已经关闭了服务器
作者对这款软件的防山寨下了很大的心思
下面我们来一起搞定他
因为是WIN7 64位。不能给大家调试了 只能附加然后来进行一些数据的修改
大家就看看吧
我给大家解释下他一些暗桩的实现

服务器地址:103.31.9.101
ASP 数据库文件我已经上传到了空间
这个是我服务器的地址 因为他有个暗桩涉及到了服务器IP.本地的话替换那段IP需要加端口号 字节数不够
所以就用了我自己的IP

现在我们来查找asp文件的地址

005622BE  68 74 74 70 3A 2F 2F 31 39 39 2E 31 39 33 2E 36  http://199.193.65.248/wx/wangxian.asp

68 74 74 70 3A 2F 2F 31 30 33 2E 33 31 2E 39 2E 31 30 31 2F 77 78 2F 77 61 6E 67 78 69 61 6E 2E
61 73 70 00 00 00
很明显这段就是他的ASP地址 我们来把他替换成我们的 将多余的字节00填充掉

现在来找传输密码 可以清楚的看到 asp地址上面就是传输密码

08 00 00 00 02 00 00 00 00 00 00 00 01 00 00 00 03 00 00 00 00 00 00 00 01 00 00 00
00 00 00 00 01 00 00 00 

这一串就是传输密码 这个01 00 00 00 可以不用去看
相信大家也明白08 00 00 00 这个就是传输密码的字节数
所以很简单的可以看出传输密码为20130101

因为作者有改表名 所以不能登录 注册等等 之前在虚拟机调试 我也找到了地方。
这里就不给大家演示了 你们想要找的话。很简单 自己去看看源码 对应有表名的地方
然后找到那个地址 下断自己跟踪吧。

现在我们来去除暗桩

因为这个版本作者虽然加了SDK 但是一些暗桩的代码 他没有保护到 

我们先来搜索他服务器的IP 这也是一个暗桩..

找到了。在这里。。我们替换下。。

0056745A  31 30 33 2E 33 31 2E 39 2E 31 30 31 00 00 00     103.31.9.101...

他这个软件还有个大漠插件的注册 我们需要来找到 然后替换成我们服务器上的

http://www.long13.net/wangxian/0446a.txt 
http://long13.gongzuo.in/wangxian/0446a.txt
http://long.j.5idc.org/wangxian/0446a.txt
可以看到 这几串就是他的大漠插件注册。我们来替换掉
三个地址都要替换成我们的
6DA919 
6DA942
6DA96E

68 74 74 70 3A 2F 2F 31 30 33 2E 33 31 2E 39 2E 31 30 31 2F 77 78 2F 30 34 34 36 2E 74 78 74 00
00 00 00 00 00 00 00 00

对于这个 我们只要将asp的访问信息修改即可 不用管他

004C9A2B   /EB5390909090              nop

004C8866    90              nop                                      ; 这个就是辅助停止。。需要nop掉
004C8867    90              nop
004C8868    90              nop
004C8869    90              nop
004C886A    90              nop
004C886B    90              nop

暗桩就全部找出来了。可以看到作者对防山寨下了很大的功夫 如果将这些代码加了SDK 那我们查找起来的时候 会非常的麻烦

下面我们利用bang姐的inline 来进行补丁

这里我已经将asp 数据库打包 我们来看看asp

另外访问信息需要注意 他后面有一个空格。。

可以看到 这个api不能实现补丁 ok..GetVersion 可以实现补丁 我们来登录下 试试

可以看到 注册的时候一直卡在这里 看来是将表名修改了吧。。那我们来进行还原

之前在虚拟机上已经调试出来 修改成什么表名了 大家也可以自己去调试看看

0055DE7E  75 73 65 72 73                                   users
这里就是修改后的表名 我们来还原成admin
61 64 6D 69 6E 00 

ok。我们来进行补丁

可以看到直接退出了 

我们来找到退出的地方retn掉。

004F7670    55              push ebp                                 ; 这里就是退出的地方 直接retn

ok..我们来试试功能 功能可用

教程到此结束 谢谢大家

教程发上没有CB了。适当收点。哈哈哈哈。。

以指代步 · 发表于 2013-7-23 10:41

支持一下、敢问这个是干什么的、

stucky · 发表于 2013-7-23 10:45

以指代步发表于 2013-7-23 10:41
支持一下、敢问这个是干什么的、

忘仙OL PC版的一款辅助。

wanwanle · 发表于 2013-7-23 10:45

前排支持下嗯群友........

Rookietp · 发表于 2013-7-23 10:45

{:1_931:}群里的骚年必须顶

1354669803 · 发表于 2013-7-23 10:48

膜拜会山寨的大大

逍遥枷锁 · 发表于 2013-7-23 11:03

大牛很给力啊，来跪坐学习下，谢谢。

sunda · 发表于 2013-7-23 11:10

大牛很给力啊，来跪坐学习下，谢谢

Dlan · 发表于 2013-7-23 11:19

果断好教程！THnaks 收藏

yAYa · 发表于 2013-7-23 11:32

支持了,学习一下,喜欢关于飘零的教程

帐号		自动登录	找回密码
密码			注册[Register]

[Windows] 某飘零3.5商业版山寨+去除功能暗桩