好友
阅读权限30
听众
最后登录1970-1-1
|
破文标题:天晓得辅助手脱+YY绑定爆破
破文作者:Joker`ST
作者声明:仅供交流学习使用!
破文时间:2014年1月29日
程序名称:天晓得辅助
程序简介:天晓得辅助:DNF 只限体验服使用!刷图工具!
程序大小:2.71 MB
程序外壳:未知
保护方式:未知
调试工具:OllDbg
编写语言:易语言
调试系统:Windows SP3 XP
前言:
看到论坛某位同学再问这个辅助的壳的问题.我就去人家官网下载了个研究了一下.辅助是最新版本的.不好意思,人太懒了,只能用自用的破文生成器弄啦.
分析过程:
PEID 检测看着正常,但是Scan这一点就不太正常了后面怎么会有个Dll?加上那位同学用的扣扣的侦壳器的结果判断.PE头估计呗修改过(纯属瞎猜,知道的大神可以点出这是什么情况造成的)
OD载入特征,木有程序被压缩等异常提示.
载入后F8,注意观察ESP变化.如上图ESP出现变化.那就数据跟随,然后下硬件访问断点.ESP定律(可能有人问不对啊,怎么不是在载入的时候F8一次,然后就下断点么.我笑笑,不要那么死板.照步就搬木有意思~)
下完断点后,F9运行.
F9运行后出现这个情况,如上图.F8继续.
F8到这里 db 55 CHAR"U" ,注意啦,右键从模块删除分析代码.
等待解密完毕后,出现如上图.入口点有木有~ 然后删除硬件断点,再右键OD脱壳,保存.
到这里就脱壳完毕了.脱壳后检测,如上图.正常了木有~
接下来我运行了一下辅助,发现绑定YY频道,很讨厌的~
这里我提供2个解决的方法:
1.会编程的朋友可以尝试一下.这个YY绑定的原理就是检测窗口句柄内容.
可以用软件模拟一个同样内容的标题就行了.至于这个标题么,就是这个YY频道的标题.可以用网页YY进入这个频道查看.
模拟出来后,先运行模拟程序,然后再开辅助.后面就 =.= 木有了.
2.就是如下了,继续OD调试.深入爆破一下.
直接调试脱壳后的辅助就行,我尝试了一下搜索字符串,竟然木有找到 =.= 好吧
那么就用暂停法吧.先载入脱壳后辅助,然后F9运行,点击启动辅助,出现YY绑定提示.如上图
不要确定,切换窗口至OD,然后暂停.出现上图情况,然后点K.
看见了木有找到第二个信息框断点,如上图所示.然后双击.显示回调
这个Call么,就是爆破的重点.关键Call.寻找有没有能跳过这个Call的条件判断.寻找到上一个断尾都没有出现.上图所示
那么我们就F8吧,然后弹出信息框,点击确定.再切回OD,接着F8,一直到断尾.还是F8走下去.(上图所示)
F8走出来,上面又一个Call这个还是我们断掉的那个关键Call.接着看有没有跳过这个Call的条件跳.木有.那就接着F8走下去.
F8走出来了,出现上图所示.同样找能跳过这个Call的条件跳.JNZ找到了,能跳过去.
我们可以把这个Call当成YY绑定提示的地方.相当于字符串"先进入YY频道".大家应该能明白了吧.只要找到能跳过这个Call的条件跳转就行了.改成Jmp-无条件跳转.
不多说了,JNZ就是我们要爆破的地方.汇编改成Jmp.保存修改.完毕
上图已经爆破完毕了,我没有DNF,所以就不测试了.这个进入频道提示可不要搞错了,这个提示是让你进入游戏频道,然后再开启辅助.到这里我们已经完全结束了.脱壳+去除YY绑定.结束了
不想粘贴代码,太麻烦了.一段一段的,还是截图方便点.更直观,对于新手来说,这种更容易学习.
这里注意一下,脱壳和汇编的时候一定要先删除断点.否则 =.= 你懂得.这个辅助调用了Super-EC模块,并且我貌似发现了某些东东,慎用~
百度网盘: http://pan.baidu.com/s/1mgBJhwO
回复下载吧,附件太大了.只能放网盘上了.
附件中我打包了原程序,脱壳后,和爆破后的3个文件(~.exe 丨tk.exe丨pj.exe),截图也一起打包了.不懂的自己去下载看吧.
最后求币币,热心,求支持~有木有 难道木有么.不要那么浪费每天系-统赠送的币币嘛~
版权声明:本文原创于吾爱破解论坛,转载请注明作者并保持文章的完整,谢谢!
|
免费评分
-
查看全部评分
|
[复制链接]
发表于 2014-1-29 01:36
