爆破刷网页访问量工具过程

Mines · 发表于 2016-4-12 21:09

本帖最后由 Mines 于 2016-4-13 14:25 编辑

本人菜鸟有说的不对的地方请谅解并及时纠正我。。这个工具是用来刷网站访问次数的。

1.打开工具后提示要注册！本程序无壳。。方便新手！
$P7UW470C{`J_TZ2KEN{DS3P.png$
2.载入OD，并运行，随便输入“1111111111”点注册看看有没有提示！这里提示注册码错误！然后点确定关掉这个信息框~
7DB2E5E]O06~ZFA`HTPBHZ5.png

3.既然有提示了有好办了。可以通过查找文本的方式找到关键点，也可以使用信息框API断点来突破！这里我们使用 bp MessageBoxA 然后回车！按Ait+b查找断点是否成功！OK这里成功了！
IG]AF4JAW785~Y4U9YS1K.png

4.我们回到程序再点一次“完成注册”试下！OK断下来了，显示在7XXX开头的地址里。我们把这个断点按F2删除掉！因为已经断下来了不需要了！然后下右下角的调用来自！右键“反汇编窗口跟随”！
36L4O36_RC7`[40H0ZRM~JK.png

5.来到下图这地方，然后我们向上翻动一点点！可以看到是上边这里调用了这个信息框 MessageBoxA !在上边不远的地方很近有一个对比和跳转！
在逆向的时候，看到这些跳转上边带 cmp xxxxx,test  xxxx这2个指令的时候要特别注意！而且上面的CALL 90%以上都是关键CALL！我们在这个CALL这里下断点，按F2就可以下断点了！然后按F9运行程序！
      004836A0  |.  E8 FB14F8FF call 刷网页访.00404BA0

      004836A5  |.  83F8 0C    cmp eax,0xC
      004836A8  |.  74 3F       je X刷网页访.004836E9
6.下完这个CALL处的断点后然后我们再回到程序点一下 “完成注册”又断下来了。右上角EAX内显示了我们的假码“111111” ,注意这里的cmp 一般来说，都会对比EAX,是0还是1，这里 cmp eax,c 换成10进制也就是 12，为是什么对比不是0和1是12泥，我猜可能是注册码的长度，我们回到OD，按一下F8！来到CMP这行！我们再看
5UIQPVID[969PAZU6[3F.png

7.我们发现EAX变成了9，我们之前输入的假码也是 9个 “1”，说明这就是判断注册码长度的。。。被我们猜对了。
$2KREC[8A]_P3S{CX3CIX0MP.png$
8.我们再回到OD按一下F8，来到je跳转这行，发现跳转是灰色的，说明没有跳转，因为我们输入的不是12位的注册码所以它不跳的话我们就让它跳。这里是灰色的说明它不跳，那我们把它改成JMP跳。灰色代表不跳，红色带表跳。双击后就可以编辑它的汇编代码了。JE改成jmp，注意后边的X去掉。。

70HU1}V1GANC($EJ%NDS@WI.png

9.然后我们继续按F8，慢慢向下走，注意je jmp,jne等等这类的跳转指令，到0048370d这里又发现一个可疑的地方
0048370D  |.  E8 3A3C0000 call 刷网页访.0048734C //CALL
00483712  |.  84C0       test al,al                                  //test cmp 对比指令
00483714  |.  0F84 C7000000 je 刷网页访.004837E1  //跳转。。
我们在这里简单的上下看看，发现，这个跳转下边有类似KEY 之类的东西，应该是注册码之类的，跳转到的地方就一个信息框！我们F8到这个JE的时候发现它变成红色的线了，说明跳转实现了。跳过了KEY这里。这里我测试了。如果让它跳的话就提示注册失败了

@DLC3ATBJV6C49[FN~JAEL2.png

10.所以我们不能让它跳，修改掉它的指令！直接NOP掉！
$}G_8)V{NGUXE@CHT(RJG7.png$ `0IZR(1KK00_B(3ZFNLED1R.png

11.修改后我们直接按F9让程序运行起来！OK逆向成功！我
78K7W`4LA1~(IY}~TEDTS9U.png

12 我们保存一下刚才修改的代码，然后起个新名字就行了。然后关闭OD！打开我们刚才保存的新文件！然后还提示要注册！我们直接点完成注册！不输入任何注册码，OK，直接注册成功！

}4F01%[FK`9H2P[7AKF{V.png

$]ZAWRL2@{_EEXGJEFNFYYJX.png$

]8DP)Z6Z%X0C{0N)E]SB(Z5.png

13 你以为这样就完了？我们能不能不显示这个注册窗口直接到主界面泥？后来经过分析后发现在我们第二次的跳转那里上边有个CALL应该是关键CALL，除了点击注册的时候调用了一次外。在启动的时候也调用了。所以我们直接修改那个CALL的返回值就可以了！

14.如果不懂的话继续向下看，拿我们刚修改过的文件从OD打开，直接到跳转CALL那里下断点然后点击注册！然后向下一步到TEST，这行，发现在调用CALL后EAX是0，一般的话，如果EAX=0的话肯定是失败的！要让它变成成1！重新载入下程序，再次点击注册又断到这个CALL这里我们回车进入这个CALL

下图是进入CALL后的地方！发现最下边是retn!我们在它最前面修改掉EAX=1然后返回就行了！如下图修改后

}(GVYZ96CZITM5ES4X0$NS0.png