吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 9611|回复: 45

易游验证动态dll加vmp壳,如何hook求教

[复制链接]
devilmilk 发表于 2016-7-21 23:45 | 显示全部楼层 |阅读模式

本站严厉禁止求脱求破行为(包含无自我分析直接求思路),如发现此类求助主题请点击“举报”,让我们共同维护优质的学习环境!


750HB
本帖最后由 devilmilk 于 2016-7-24 20:50 编辑

看了很多教程,可能还是看的少没有找到解决问题的办法通过dispcallfunc或者send等找到程序KEY和版本号,也发现可能有程序变量,KEY是动态地址,由动态dll文件释放,程序开启调用系统程序启动,rundll32.exe,
替换KEY,或者打特征码补丁没有效果。希望能教教具体逆向过程,最好有视频,谢谢啦。困扰快3个月个,比较笨,麻烦教教我。
key.png key1.png 程序不能从od直接载入F9跑飞,我都是附加的,ctrl+e没有找到类似EYlogin.DLL的文件,在C:\Users\Administrator\AppData\Local\Temp文件夹里找到程序生成的ikernel.DLL应该是他的eylogin.dll版本号1.0.2.8。
随机生成数字名称的dll文件,md5相同,授人以鱼不如授人以渔,想自己学会逆向,谢谢各位大牛啦,大牛如果有时间指导一下我,让我独立完成逆向最好啦,谢谢!
第一次发怕违规所以给链接不上附件了。
链接:http://pan.baidu.com/s/1eSsLSVg 密码:m7ge
如果链接失效,麻烦告诉我一下,我会及时更新为学习交点学费应该,相信一定有牛人会逆向的,搞了3个月了,真累了。看见有人说风凉话真心受不了,小白学习中你装什么X,说什么把论坛hook教程都看了你就会了,屁话,论坛所有教程我都看了我就无所不能了,我咋不上天与太阳比肩。。。。。就这样吧,等大牛飘来。刚充值的所有家产,有税收的。别嫌少,谢谢。





补充内容 (2016-7-31 20:42):
更新下载链接:http://pan.baidu.com/s/1gfCxm63 密码:0dzc

补充内容 (2016-8-16 00:29):
这个是附件地址:(已经经过fire火眼验证了放心下载)https://www.52hb.com/forum.php?m ... 5991&pid=928225

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| devilmilk 发表于 2016-7-22 16:15 | 显示全部楼层

看见别人的悬赏贴都有人回,我的没人回,真心不知道怎么搞,请大牛在此歇歇脚帮助看看,怎么搞,谢谢啦,我看过论坛里面有写过易游的comhook的教程,但是不知道这个怎么写,UserLogin(UserName,UserPwd,Version,UserMac)-------返回值:整形数:1 : 成功/0 : 失败.eyLogin.CheckUserStatus()等等,但是到具体的例子就不会搞了,麻烦大牛帮帮忙,谢谢
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| devilmilk 发表于 2016-7-23 19:36 | 显示全部楼层

目测我这个求助要成僵尸帖啊,大家帮帮忙呗,谢谢啦,他的一个ikernal.DLL文件应该就是EYLogin.DLL的改名了吧,但是没有加载在内存中,搞不懂怎么弄的,强行注入的时候看到是1.0.2.8。大牛帮忙啊
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
酒醒黄昏 发表于 2016-7-23 19:53 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| devilmilk 发表于 2016-7-23 20:58 | 显示全部楼层

酒醒黄昏 发表于 2016-7-23 19:53
帮你看了  vmp检查虚拟机  过不了  呵呵

需要附加调试
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
酒醒黄昏 发表于 2016-7-23 21:06 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| devilmilk 发表于 2016-7-23 21:07 | 显示全部楼层

酒醒黄昏 发表于 2016-7-23 21:06
检测虚拟机  不是检测OD调试

。。。。。我用的是影子系统。。。。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| devilmilk 发表于 2016-7-24 11:01 | 显示全部楼层

沦为僵尸贴了,大牛不曾飘过,哎。。。。,这个这个程序不能直接载入OD的,只能先运行再附加,而且附加的是rundll32.exe系统程序,他是先生成随机名称的dll文件然后调用rundll32.exe实现运行。Delphi的按钮事件没有断下来,更改程序秘钥调试的话可以实现山寨注册和充值,但是不能实现登陆,估计又登陆自校验或者其他的校验方式吧,消息窗口断不下来,不知道怎么搞了,厉害的大牛过来看看帮帮忙吧,谢谢啦。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
11747635 发表于 2016-7-26 18:49 | 显示全部楼层

devilmilk 发表于 2016-7-24 11:01
沦为僵尸贴了,大牛不曾飘过,哎。。。。,这个这个程序不能直接载入OD的,只能先运行再附加,而且附加的是 ...

更改程序秘钥调试的话可以实现山寨注册和充值,但是不能实现登陆,估计又登陆自校验或者其他的校验方式吧

应该是登录的时候有静态或者变量。正版取到后放在后台。看看咯。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| devilmilk 发表于 2016-7-26 23:23 | 显示全部楼层

本帖最后由 devilmilk 于 2016-7-26 23:25 编辑
11747635 发表于 2016-7-26 18:49
更改程序秘钥调试的话可以实现山寨注册和充值,但是不能实现登陆,估计又登陆自校验或者其他的校验方式吧 ...

我也是到了这一步,用正版取过什么都没有,估计是做了加密的,我图中标记的那个不知道是不是对比变量什么的,具体也没有分析明白,还在研究中,正在向如果脱壳他的ikernel.DLL文件然后伪造那。更改,秘钥后可以实现充值和注册,但是单击登录按钮时候就会更改回原来的key,暂时没有找到他处理的地址,不知道怎么下断了。等待大牛支援。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表