易游验证，字符串好像加密了，有蓝屏和关机暗桩，获取不到key

抱歉，HB不是很多，这款FZ软件是我无意中发现的，下bp send断点，PCHunter关闭一些计时器（不关闭计时器直接调试蓝屏了一次），然后点击登录运行，可以找到如下的信息：

0018FB38  |021DFBE8  ASCII "UserName=1111111111111&UserPwd=111111111111111111&Version=8.8&Mac="
0018FB3C  |004FDEBD  ASCII "http://w.eydata.net/05058ca0d836ced79f"


可以看到，易游的软件版本号是8.8，尝试继续往下搜索，出现了一些字符串，类似：

0018F618  |04A7FBF0  ASCII "POST /05058ca0d836ced79f HTTP/1.1\r\nAccept: */*\r\nContent-Type: application/x-www-form-

urlencoded\r\nUse"

0018F650  |04A9B570  ASCII "lYuw://w.eyd"


0018F928  |049D0D10  ASCII "http://w.eydata.net/05058ca0d836ced79f"

0018FA1C  |049CAD10  ASCII "Accept: */*\r\nContent-Type: application/x-www-form-urlencoded"


看红色地方，可以判断是易游的网络验证，开始有点兴奋，因为前段时间正巧学习了易游的逆向（但是也有点郁闷，因为bp send后并未出现明文的密钥）

没有出现明文的密钥或者可疑的字符串，倒是出现了 POST Accept 这些字符串，这是我头一次遇到，不知道啥功能

======================

然后，就尝试逆向吧，首先用到HOOK API的方法，HOOK了易游的下面三个API：

登录。long UserLogin(UserName,UserPwd,Version,UserMac)
开启心跳。long OpenUserCheck()
取到期时间。string GetUserExpired()


用注入工具注入，提示注入成功（之前成功注入过其他易游程序），但是点击登录，并没有出现想象的结果，而是提示用户名不存在，看来注入不行啦。

接着，尝试搜索定位 DispCallFunc，下面出现了 call ecx ，下断点，点击登录，结果直接就不拦截了，出现登陆失败

看来，得搜索内存数据了（尝试过401000然后搜索字符串，没可供参考的信息），OD附加程序，搜索 .ini 和 Z10 （不知道这两项搜索对了没，最近学习验证想到的就这两个），搜索到的结果类似：

http://w.eydata.net/05058ca0d836ced79f

并未发现密钥和版本号，

=====================================

我的逆向之路就此终止了，吾爱汇编论坛是个高手潜伏的论坛，希望大家帮忙看看，不知道是我复杂化了，问题没想象的那么复杂。

附带程序：

http://pan.baidu.com/s/1midXeo4

大牛们别嫌弃我菜哦！

锐雯比媳妇重要 发表于 2017-5-25 10:54
易游WebApi
自己在OD里查看它每一步调用的地址是什么吧
例如这个登录

好的谢谢 头一次遇见WEBAPI

这是啥玩意  

这个应该可以山寨 把地址替换掉  跟之前替换key一个道理

Eason-伊森 发表于 2017-5-25 17:39
这是啥玩意

谢谢提供思路 这两天在弄VC++ 有时间会看的

易游的WEBAPI出来都多久了，去年就玩过，现在竟然还有人说是加密的这么明显的网址像是加密的吗

yhw5231 发表于 2017-5-26 15:54
易游的WEBAPI出来都多久了，去年就玩过，现在竟然还有人说是加密的这么明显的网址像是加密的吗

恩 我以为字符串加密 前几天刚接触

锐雯比媳妇重要 发表于 2017-5-25 10:54
易游WebApi
自己在OD里查看它每一步调用的地址是什么吧
例如这个登录

程序一进去就有个程序密钥，改了登录地址不能用吧应该

Eason-伊森 发表于 2017-5-25 17:39
这是啥玩意

表示不爽 明显抢我装逼