一个游戏FZ的逆向疑惑

xin2819800 发表于 2017-10-27 14:34
沙币 孩子 1个你就是，！我本事大不大，用你在这指手画脚？嗯？我本事在不大，也比你强，你可懂这点？还 ...

没想到这论坛上有本事的人，不出来说话，你这种没本事，天天像疯DOG一样咬人赚点HB的人到是不少，你这脑CHAN，也就能找比LZ这种没学几天逆向的人来比较，找点优越感，不然你哪来的动力继续下去呢？你也能PJ？你也就是到处找点别的大神搞好的，自己再出来装装B，搞个什么补丁骗点悬赏HB吧，去吃SHI吧，那玩意多吃点，对你这种疯DOG有好处，可以多点口水来臭大街。一条人见人嫌的疯DOG。

zhxh18889 发表于 2017-10-27 14:43
没想到这论坛上有本事的人，不出来说话，你这种没本事，天天像疯DOG一样咬人赚点HB的人到是不少，你这脑C ...

哈哈！HB能够干啥？能卖qian？回复1个帖子 1个，我在乎你那30？有没有本事，不是用嘴说的，有本事上软件？破了，喊die吗你？软件让你选，咱俩同时破，我看看你水平到底有多牛，！你玩嘴 玩的狠厉害，！实际行动上 我看你也是个废物，！这么简单的软件，你都搞不定，还悬赏呢，还研究1天呢，你快让你die笑死了，！你知道你像个什么吗？长毛大sha吊~~~你知道是啥意思么？拿镜子照照自己的 德行在说话！！

最后在问你1句，上软件？来来，你不是说我没实力吗？上软件，？我破了，你喊声die就行了，破了的软件当我免费送你了！

这几天太忙了，也没时间上论坛看看，我大概说下思路吧。不想录教程，做图文教程吧
1.调试器我就不多说了哈，你手上必须得有一个可以过强壳的调试器，这里不做评价~
2.易语言他有的按钮事件就是 FF 55 FC 5F 5E 这个是易语言的事件，可能楼主是新手不太懂，知道是这么回事就行,以后再慢慢去理解！
3.这个程序的大概思路，打开程序 他有60秒倒计时检测。这过程肯定有一个时钟在控制着这个， FF 55 FC 5F 5E 这个易语言事件 不管是按钮还是其他操作，只有有事件产生他会会断下
4.载入调试器，快捷键CTRL+G 转到输入窗口  ，如果不想快捷键的话 鼠标在CPU窗口右键->转到->表达式.

5.输入一个API  GetVersion,会来到图上的地址 在 那个 ret处 鼠标右键->断点->切换- 。     快捷键是 F2

6.下好断点后 快捷键F9让程序跑起来，程序会断在 ret处 然后

7 点那个图标M字母，弹出一个内存窗口 查看 PE头下面的地址是多少.

从这个内存窗口可以看到 PE头下面的地址是 00401000 那么可以回到CPU窗口输入快捷键 CTRL+G

或点图上的那个小图标 ->这样的箭头 然后输入 00401000

来到00401000处后 可能会出现这个情况，通常情况下我们可以按快捷键 ctlr+A 分析一下，或鼠标右键->分析->从模块中删除分析.

删除分析后的结果

此时的程序已经解码了，至于什么是解码，现在不需要了解,以后学习深入了就会知道了！
此时可以按快捷键 CTRL+B 输入 FF55FC5F  鼠标操作的话，右键 ->查找->二进制字符串!  


输入 FF55FC5F5E

点确定 会定位要易语言事件的特征处

这个CALL就是事件的位置，  下个CC(快捷键F2)断点，然后F9运行
注意断下都 按键盘的F7键进入

F7进入后的代码，发现被VM了，但这并不是我们想要的关键，那个 易语言事件断点别取消掉，在一次F9运行
第二次在运行一下后就是时钟的代码了
简单说明下。
1.第一次的易语言事件，他在启动窗口的时候做了些程序的初始化或其他的工作
2.第二次运行的时候来到易语言的事件，刚好是时钟控制的事件，一般时钟控制的子程序不会进行VM保护(不懂VM的暂时可以不理解!),因为对时钟这种高频率调用进行VM的话程序卡.

这个地方就是我上次说的位置。

00413C11  /.  55            PUSH    EBP
00413C12  |.  8BEC          MOV     EBP, ESP
00413C14  |.  81EC 20000000 SUB     ESP, 0x20
00413C1A  |.  FF05 7C477800 INC     DWORD PTR DS:[0x78477C]
00413C20      833D 7C477800>CMP     DWORD PTR DS:[0x78477C], 0x3C // 这里3C就是 十进制的60秒
00413C27  |.  0F8E 2C000000 JLE     UU换肤.00413C59  //这里判断 0x78477C是否小于60，如果小于60就继续广告，等大于60的时候才正常去掉广告 ！。我们不想的话可以两种选择
NOP掉  jle这个，或在上面那个   CMP     DWORD PTR DS:[0x78477C], 0x3C  将3C改成1 或2也行 相当于 1~2秒后结束广告!

好好学习天天向上！多看看基础的教程！ 打补丁的话，有很多现成的工具可以拿来用，这里我比较喜欢自己写！。
准备工具
1.一个易语言 这里我用易语言 5.6
2.准备一个精易模块
2)1.精易模块下载地址：http://ec.125.la/
3)源码+模块下载

@zhxh18889
看你们打嘴仗真是够无聊的， 我给你录了一个教程~ 也不知道你能理解不，我也不知道录的详细不详细~大概就这样了吧，，里面带了逆向源码跟模块。
好好学习，打打基础.， 天天向上！ 哈哈哈哈哈哈

教程地址：链接：https://share.weiyun.com/56b8d43f9485150e3499cee4cfd9b871（密码：XX4K）
解压密码：Azahod

教程附带了教程中用到的调试器跟补丁源码+模块！
好好学习，打打基础，天天向上   哈哈哈哈哈哈
链接：https://share.weiyun.com/56b8d43f9485150e3499cee4cfd9b871（密码：XX4K）
解压密码：Azahod

链接：https://share.weiyun.com/56b8d43f9485150e3499cee4cfd9b871（密码：XX4K）
解压密码：Azahod

@zhxh18889

Azahod 发表于 2017-10-29 03:40
@zhxh18889

多谢高人指点，感觉这论坛还是您这样有本事的人多些，滥竽充数的疯DOG+脑CHAN少些，环境会好很多！
可惜我等级低无法加好友，不然可以多向您请教，不求您有求必应，只求您在不忙的时候给点提示就行，逆向之路漫漫，有良师益友相伴，感觉就不那么枯燥无味了，谢谢！

zhxh18889 发表于 2017-10-29 15:42
多谢高人指点，感觉这论坛还是您这样有本事的人多些，滥竽充数的疯DOG+脑CHAN少些，环境会好很多！
可惜 ...

教程没看懂的话 回帖就行了！

以后有不懂的地方 @我就行了，只要我会的，我看的到~我尽可能解答你的问题~

昨晚的图文，系统一直提示 存在敏感词汇，也就录个教程，也存在敏感词汇。 哈哈 今天一看一堆我的回复。。。。


原来是人工审核一遍~。。  sorry~