易语言反调试软件如何分析pus恒大法遇到问题

上岸的鱼 发表于 2016-12-4 21:13
https://www.52hb.com/thread-29607-1-1.html  我叫雷锋

@上岸的鱼  谢谢你的耐心回复，我想，你应该是把你的鞭长appkey删除了吧，否则我按照你提供的account=xiaofei&password=123123&appKey=309534eb-160b-48a3-95d7-8a1e9b211e22&loginKey=
提示空的appKey
不管怎么样还是谢谢你。

另外，你能不能提供pus.恒大法的方法呢？因为我设置bp ExitThread，能断下来，但是无法返回到程序领空，因为F9运行直接就退出了(我测试过ExitProcess断点断不下来，线程断点能断下来)，麻烦你了！

我用过此版本的push方法，push后点击“登录”，会闪退，应该是有检测，能否让他不闪退呢？这样的话，就能完美实现push了。

可能是我打补丁的方式不一样 逆向后 点击登录按钮 提示“空的appkey”

上岸的鱼 发表于 2016-12-4 16:08
这个验证很简单啊 ， 不需要push窗口，直接山寨打补丁！

问题解决了，不是你APPKEY的问题，是我打补丁的方式不正确

我打补丁是选择"XH补丁制作工具"，选择OD方式，直接复制以下内容：

005C65EB    61              popad
005C65EC    6363 6F         arpl word ptr ds:[ebx+0x6F],sp
005C65EF    75 6E           jnz short 吴氏网络.005C665F
005C65F1    74 3D           je short 吴氏网络.005C6630
005C65F3    78 69           js short 吴氏网络.005C665E
005C65F5    61              popad
005C65F6    6F              outs dx,dword ptr es:[edi]
005C65F7    66:65:6926 7061 imul sp,word ptr gs:[esi],0x6170
005C65FD    73 73           jnb short 吴氏网络.005C6672
005C65FF    77 6F           ja short 吴氏网络.005C6670
005C6601    72 64           jb short 吴氏网络.005C6667
005C6603    3D 31323331     cmp eax,0x31333231
005C6608    3233            xor dh,byte ptr ds:[ebx]
005C660A    26:61           popad
005C660C    70 70           jo short 吴氏网络.005C667E
005C660E    4B              dec ebx
005C660F    65:79 3D        jns short 吴氏网络.005C664F
005C6612    3330            xor esi,dword ptr ds:[eax]
005C6614    3935 33346562   cmp dword ptr ds:[0x62653433],esi
005C661A    2D 31363062     sub eax,0x62303631
005C661F    2D 34386133     sub eax,0x33613834
005C6624    2D 39356437     sub eax,0x37643539
005C6629    2D 38613165     sub eax,0x65316138
005C662E    3962 32         cmp dword ptr ds:[edx+0x32],esp
005C6631    3131            xor dword ptr ds:[ecx],esi
005C6633    65:3232         xor dh,byte ptr gs:[edx]
005C6636    26:6C           ins byte ptr es:[edi],dx
005C6638    6F              outs dx,dword ptr es:[edi]
005C6639    67:696E 4B 6579>imul ebp,dword ptr ss:[bp+0x4B],0x3D7965

结果就错了，如果是复制二进制代码就不会出错。

恩，之前push用这种方法都不出错，为什么这里就出错了呢？

还有，pus恒大法能屏蔽掉“试用”闪退的问题吗？就是让他不闪退，至于功能无所谓。我下终止线程断点，返回用户代码，结果还是返回不到程序领空。

lyrong 发表于 2016-12-5 10:31
问题解决了，不是你APPKEY的问题，是我打补丁的方式不正确

我打补丁是选择"XH补丁制作工具"，选择OD方 ...

我教程里不都是用二进制打补丁么。 我不怎么喜欢PUSH的方法  一点都不好玩  所以我也没研究！你说的问题我也不清楚！

上岸的鱼 发表于 2016-12-5 14:15
我教程里不都是用二进制打补丁么。 我不怎么喜欢PUSH的方法  一点都不好玩  所以我也没研究！你说的问题 ...

好的 谢谢你