学破解论坛

 ★找回密码★
 ★免费注册★

QQ登录

绑定QQ,免密登录

查看: 2420|回复: 88

[原创逆向图文] 难寻之关于TC版百宝云网络验证取数据的浅析

  [复制链接] |关注本帖

签到天数: 149

该用户今日未签到

马上注册,深入学习!

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
本帖最后由 难寻。 于 2017-4-4 21:10 编辑

破解论坛我发布的百宝云验证的教程最多,但是近来情况很让人失望啊~
百宝云取数据工具给你了,伪造dll给你了,破解教程给你了,但是我越来越看不到希望,本打算是大家共同学习交流
呵呵哒,无奈看到的是某某论坛的百宝云单子大量流入论坛的悬赏问答
你就是接单,你自己挣钱,你就不能拿着给你的便利条件自己研究破了吗?自己的技术获得回报也是成就感
非要扔论坛悬赏区?把一个单子通过几十几百HB变成高大上的技术分析和讨论?

————————————————————以上纯属装13,——————————————————
下面我再说一点偏题的,也是自从发百宝云教程大家问我最多的问题
1.如何判断劫持dll什么时候调用?
答:劫持dll这东西,我看了一下,E语言的程序,百宝云的dll初始化都是在创建窗口后的,且都是取程序当前目录dll优先,内存dll其次,如果你非要研究什么时候调用,估计是TC或其他编译的百宝云验证,dll 是何时调用的,何时替换,下断函数:LoadLibrary 加载dll前替换 伪造dll
2.如何判断是百宝云验证
答:OD中跑起来的时候可以看到WebZCM.dl,这是注册码登录,一般在TC中出现,不百分百,OD或运行目录看到t_baibaoyun_win32.dll,网络验证登录,少许注册码也调用,SRS中出现”“http://v1.yokka.cc/0709?mach=XXXXX“,这些基本可以判断是百宝云,另外说一下现在TC大部分是百宝云验证
3.没有正版号能不能山寨
答:除最简单的只验证帐号密码的外,其余要取key,赋值,安全密匙,前辍后戳,加密方式等等这些需要正版号,取token和项目名无需正版号
—————————————————————以下才是正题,——————————————————
好吧,为了最后一次装比,我浅析一次TC的百宝云验证,给所有懂得感恩的人。
TC版一般分为t_baibaoyun_win32.dll和ZCMweb.dll会写到系统临时目录,如果同时出现,那么有用的就是ZCMweb.dll,T_baibaoyun的太简单,会的人太多,这里不做分析,我们分析一下ZCMweb.dll中取数据

首先,TC软件扔od,查看加载了哪些百宝云dll,我们发现上述说的2同时出现,那我们看ZCM中的数据,因为Tbaibaoy没数据,不懂啥意思,没细研究

1.png
双击跟进Webdll,搜索字符串,我们发现有很多可疑数据,比如:
3.png
下面还有几个,我们不一一例举,这些是啥意思呢?如果看过百宝云注册码验证的应该知道,返回数据是这样的:
{"flag":"********","机器码":"*******************","注册码":"*****************","登陆备注":"","项目名称":"*********"
那么根据这个数据我们可以看出 这是登录数据的返回,对比上图,
{"flag":"注册码登录","机器码":"15745A9031F9BB119C67F50417A719E1","注册码":"未知","登陆备注":"","项目名称":"传奇霸业无限开版"
根据百宝云注册码初始化 全局初始化 (token.内容, 项目.内容),项目名我们找到了 是什么,那么在字符串中我们也找到可疑字符串:
4.png
根据"一个进程不能执行多次初始化"确定这里就是初始化子程序,那么我们还原到易源码中应该是这样的
设置机器码模式 (1)
.如果真 (全局初始化 (token.内容, 项目.内容) = 0)
真实的初始化中应该是3个参数,大概是这样初始化(token,项目名,机器码)
依次获取到的token:e91eb2540cd6335ab0b0283ceaa9e1b5,项目名:传奇霸业无限开版,机器码:15745A9031F9BB119C67F50417A719E1

这意思很明显了,返回数据基本意思就是,flag+调用子程序名+参数,依据这个套路,解绑啥的我们都不鸟他,我们用个正版登录,直接到key赋值这里:
5.png
游客,以下内容已经设置隐藏,如果您要查看本帖隐藏内容请回复本主题(记得评分谢谢楼主呦,评分不扣你的分)

读完全篇,没啥好东西,就是主要说简单的获取数据,会替换dll和伪造dll,那你就成功了百分之90,还差一个前辍后戳,就需要你自己加油了。

本篇前五行话和某些原因,此贴截至,今后不再发布关于百宝云网络验证教程,百宝云没什么意思了,以后专心换个验证研究,有不足之处欢迎大佬们批评指点。

评分

参与人数 10威望 +1 HB +41 THX +10 收起 理由
小九 + 2 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
cydzdiy + 5 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
htqweszxc + 5 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
叶良辰和赵总 + 5 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
一片苹果 + 2 + 1 感谢分享 虽然对我没啥用处
风云神龙 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
10533388 + 2 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
peter_king88 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
goodluckwxl + 1 文章如其名,真实难寻的好文章。
Shark恒 + 1 + 20 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!

还有更多人参与评分,点击查看全部!

学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!

签到天数: 354

今日第234个签到

这篇教程读完,我相信大家会更上一层楼了。感谢难寻
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

签到天数: 135

该用户今日未签到

难的的 分析,谢谢。
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

签到天数: 164

该用户今日未签到

xx谢谢楼主分享  哈哈哈
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

签到天数: 144

该用户今日未签到

难的的 分析,谢谢。
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

签到天数: 185

该用户今日未签到

发表于 2017-4-5 09:06 本信息由手机发布 | 显示全部楼层 |取消关注该作者的回复
感谢分享,学习一下
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

签到天数: 18

该用户今日未签到

谢谢 你的分析
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

签到天数: 1

该用户今日未签到

我去试试看
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

签到天数: 28

该用户今日未签到

感谢分享..
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

该用户从未签到

看看谢谢分享
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

免责声明

本站中所有被研究的素材与信息全部来源于互联网,版权争议与本站无关。本站所发布的任何软件的逆向分析文章、逆向分析视频、补丁、注册机和注册信息,仅限用于学习和研究软件安全的目的。全体用户必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。学习逆向分析技术是为了更好的完善软件可能存在的不安全因素,提升软件安全意识。所以您如果喜欢某程序,请购买注册正版软件,获得正版优质服务!不得将上述内容私自传播、销售或者其他任何非法用途!否则,一切后果请用户自负!

站长邮箱:SharkHeng#iCloud.com[#改@]


站长微信号:SharkHeng|联系Email|鲨鱼逆向|手机版|小黑屋|FAQ|VIP破解教程|学破解论坛 ( 京公网安备 11011502002737号 | 京ICP备14042738号 ) 

GMT+8, 2018-1-22 12:21

快速回复 返回顶部 返回列表