新手被一个FZ足足虐了半个多月

赤炎 · 发表于 2017-5-14 00:38

本帖最后由赤炎于 2017-5-14 12:11 编辑

大家好，首先做一个自我介绍，我是在今年五一的前两晚偶然在网上看到了恒大的第一季图文教程，就引起我很大的学习兴趣，也很荣幸加入了咱们论坛，于是把恒大公布出来的教程都下载下来学习，期间，也边学习边进行实战，一步一步把学习到新的知识点都尝试在某个FZ上，N多次看了一个恒大的教学视频有了新的思路，就很兴奋的运用到实战中去，有好几晚甚至都通宵去研究---------但是始终没有打开这扇大门，甚至压根没有找到，经历了许多次失败~~~~~~~~现将我这半个多月的有关分析如下列出，希望大家能指点下，哪怕给点思路。拿到这个FZ的时候先去查了壳：
QQ图片20170513193619.png

是一个VMP的壳，于是用了各种方法把壳脱了：
QQ图片20170513193908.png

脱壳之后发现是一个VB的程序，那么我们载入OD，运行起来：
QQ图片20170513194242.png

   观察界面后可以发现：
   1：功能窗口可以直接看到，PUSH窗口法不能用；
   2：软件运行是要按（启动）按钮，但并不是灰色按钮，所以解决灰色按钮法不能用。
   那么接下来我首先想到的是直接爆破登录，让我们看下输入假码提示什么：
         QQ图片20170513194401.png

弹出对话框，提示帐号或密码错误，那么我们在OD去到401000处，智能搜索“或密码”，没有搜到：
QQ图片20170513222542.png

看来关键字符串被加密了，搜索关键字符串法失败。那么我们下API断点(MessageBoxExA)试试：
QQ图片20170513223129.png

OD停在了这里，我通过单步跟踪了很久，被它绕得很晕，始终找不到关键CALL与关键跳，（包括之后也用了其他方法，比如按钮事件断点、VB特征码等，后来我觉得应该是作者故意设置了一些障碍，让类似我这种小白找不到关键处，跟进去越跟越乱，最终跟丢）所以这个方法失败了。后来学到了对付VB语言用VB Decompiler反编译，那我们用VB Decompiler打开这个程序：
QQ图片20170513224356.png

由于 VB Decompiler搜索字符串功能没有完善，于是人工把所有的字符串都找了一遍下来，依然没有找到（帐号或密码错误）之类的字符串，于是猜测应该是在登录这一块，那就先看看有什么：
QQ图片20170513225153.png

有很多个判断语句，OD继续载入分析发现这么多if条件判断语句只有4个是要根椐条件判断跳不跳的，但我并不知道哪个才是关键判断条件语句，那既然有4个需要条件判断后才知道跳不跳的，那么我干脆就把所有的可能都尝试一遍不就得了（4个全排列也就16种可能而且嘛，都说吾爱汇编论坛的都需要耐心嘛），那我抱着耐心就把16种可能都试了一遍，结果如下：
QQ图片20170513231636.png

可以看出，16种可能都没有成功（我思考了一下，登录成功应该是在没有有反应的那几种可能中，但因为仅仅是修改了跳转，没有真正赋了值，所以点登录按钮没有反应，但具体应该在哪里赋值以及赋什么值我就不懂了），所以这个方法还是以失败告终。既然爆破不行，那就试试网络验证能不能作为切入点，看界面判断不出是什么验证： QQ图片20170513194340.png

那就抓包试试：

看来应该是自己写的网络验证，既然都不知道是什么网络验证，那就不能山寨了吧。那试试截获网络数据包分析下修改之：
QQ图片20170513233756.png

可以看到数据包是加过密的，无从分析，更不用说修改了。从网络验证下手也没有思路了，那就试试能不能直接爆破启动按钮（因为软件功能界面是直接能看到的，没有登录的时候按启动按钮是没有反应的，那我把启动按钮的限制条件去不就得了？不就不用登录也可以启动了？），下了按钮事件后，运行起来单步F8一直跟踪，跟到最后还是跟晕了，找不到关键CALL与关键跳.............
还有既然关键字符串被隐藏，看恒大视频说在内存是加密不了的，那就在内存中找找看看，果然找到，但是发现地址不是固定的，而且都是系统领空，回不到程序领空，然后就不知道怎么办了
QQ图片20170514001803.png

大概情况就是这样吧，现在已经没有思路，新人初来乍到，HB不多，但也全部悉数奉上，希望大家多多指教，谢谢了
QQ图片20170514002049.png

FZ下载地址：https://pan.baidu.com/s/1bprMbuv 密码: 9cfi
附上查毒截图：
QQ图片20170514120230.png

繁花丶 · 发表于 2017-5-14 13:54

大哥这是按键精灵

赤炎 · 发表于 2017-5-14 14:18

繁花丶发表于 2017-5-14 13:54
大哥这是按键精灵

我小白一个，那是按键精灵的话有什么思路么？谢谢了

锐雯比媳妇重要 · 发表于 2017-5-14 14:18

你都能脱壳了为嘛还不能PJ

赤炎 · 发表于 2017-5-14 14:22

锐雯比媳妇重要发表于 2017-5-14 14:18
你都能脱壳了为嘛还不能PJ

找不到关键CALL与关键跳，单步跟踪进去被绕得很晕。

繁花丶 · 发表于 2017-5-14 14:30

赤炎发表于 2017-5-14 14:18
我小白一个，那是按键精灵的话有什么思路么？谢谢了

就是你买一张卡然后转成你自己的就可以无限使用了

赤炎 · 发表于 2017-5-14 14:43

繁花丶发表于 2017-5-14 14:30
就是你买一张卡然后转成你自己的就可以无限使用了

你的意思是买一张卡，截获正确的封包数据，再无限复制使用么？

小值是个小白 · 发表于 2017-5-14 16:23

前辈.学了这么几天就搞定VMP了!厉害了,我也是新手,但是我看教程的次数不多,只能PJ基本的软件和某行业软件的加密狗验证.我手上也有个VMP的程序.应该是加密压缩的!正在找解决办法,我的软件是灰色文本框!用灰色按钮也能解开,但是应用到软件没效果.也在努力学习中!!

小久久 · 发表于 2017-5-14 16:49

很想知道楼主怎么脱壳和修复的

爱美丽 · 发表于 2017-5-14 17:29

楼主大神级别也来装逼

		自动登录	找回密码
密码			立即注册

新手被一个FZ足足虐了半个多月

评分