另类强壳E盾，被作者改了的E盾

xiaosi · 发表于 2017-11-3 23:16

本帖最后由 xiaosi 于 2017-11-4 12:55 编辑

求大哥帮助啊，纯新手，看了好多教程了。

E盾登陆的字符串全部查不到，就有一个E盾的官网地址，其他字符串全部不显示

1.软件打开，然后挂起进程，再用OD附加，

2.去到401000，软件的字符串都可以搜到，
（但关于E盾的字符串全部加密）

3.用特征码
55 8B EC 81 EC 1C 00 00 00
可以找到好多，我只改了一个，不行（难道这里是全部改？或者是还有搭配其他特征？）

改成了
mov eax,1
ret

4.非法特征
55 8B EC 81 EC 08 00 00 00 C7 45 FC 00 00 00 00
是直接段首retn？

5.合法特征
55 8B EC 81 EC 20 00 00 00 C7 45 FC 00 00 00 00
把全部找到的都ret？
改成了retn

6.运算
test ah,0x41
我是把找到的第一个跳转改成jmp到最后一个test ah,0x41的跳转地址
（特别大的跳转）

7.蓝屏，崩溃的特征码没搜索到
55 8B EC 81 EC 2C 00 00 00 C7 45 FC 00 00 00 00 68 0C 00 00 00
55 8B EC 81 EC 2C 00 00 00 C7 45 FC 00 00 00 00 68 0C 00 00 00
判断暗桩到期时间也没找到
83 C4 04 83 7D ?? 01 0F 8D

8.我自己又搜索push 60 ，把段首ret了

但补丁打好，还是账号密码错误

此软件打开会有两个窗口，一个是E盾的登陆窗，还有一个是未赞助的试用窗（窗口开始是隐藏的，但已经加载出来了）
把登陆窗关了，试用窗就自动显示出来了

求大哥教一下吧，实在被虐的不要不要了，特别是我补丁地址都找的差不多了，结果软件强制更新了

软件链接：链接: https://pan.baidu.com/s/1bCGjdO 密码: zd3b

登录/注册后可看大图

我感觉软件有3个功能窗口，一个登陆窗口，试用窗口，正版窗口，窗口地址可以找到，但不知道怎么打补丁，补丁是软件加载出来以后才能打上去的，但是登陆窗口出来，在替换窗口也不行啊

捕获04.PNG

这里窗口找出来，怎么打补丁呢？一般的内存补丁是软件打开以后逆向，但这个要在软件未启动之前替换窗口啊

东少 · 发表于 2017-11-3 23:16

最佳答案本应属于楼主私有，因此限制查看

您还有0次查看次数，点此查看答案

点此购买查看次数
也可以兑换VIP特权或加入解密专家，每日可免费查看5次最佳答案！

736040552 · 发表于 2017-11-4 20:56

提示: 作者被禁止或删除内容自动屏蔽

xiaosi · 发表于 2017-11-4 21:35

736040552 发表于 2017-11-4 20:56
软件的授权功能在SE 除非干掉登录之后也没啥用

到底怎么搞啊

xiaosi · 发表于 2017-11-4 21:36

东少发表于 2017-11-4 20:48
随便填写密码账号再点登陆登陆那个地方没改的话不要空着

啊要填东西？？

东少 · 发表于 2017-11-4 21:53

本帖最后由东少于 2017-11-4 22:44 编辑

逆向登陆：（至于怎么找到这几个地方的，论坛教程很多，自己下载学习吧）
第一处：

0044D9C1 B8 01000000    mov eax,0x1
0044D9C6 C2 1800       retn 0x18
0044D9C9 90             nop
第二处：

0040486F 8BE5          mov    esp,ebp
00404871 5D             pop    ebp
00404872 C3             retn
00404873 90             nop
00404874 90             nop
00404875 90             nop
00404876 90             nop
00404877 90             nop
第三处：

004389B7 8BE5          mov esp,ebp
004389B9 5D             pop ebp
004389BA C3             retn
004389BB 90             nop
004389BC 90             nop
004389BD 90             nop
004389BE 90             nop
004389BF 90             nop第四处：

0040AE01 C3             retn
----------------------------------------------------------------------------------------
以下是蓝屏插件检测出的地址：
0040CC66 C3             retn

004F9350 C3             retn

005201A5 C3             retn

005648E1 C3             retn

0056A852 C3             retn

0057D5E7 C3             retn
-----------------------------------------------------------

看了下所谓的授权，看图说话：

位置3和位置1的地址是相同的，也就是说这个地址可能存放是否授权的地方，经过一系类的测试，确定的确是存放是否授权的地方，经测试破掉登陆后，图中位置1代表的地址置1，授权功能也可使用，也就是说破掉登陆后授权限制功能也能用，虽然显示的是未授权。（由于对该软件不熟悉，仅测试了抢号功能），层主是个初入逆向的新手望大牛勿喷。。。。
好了补丁的话楼主自己打吧！！！
求HB

东少 · 发表于 2017-11-4 23:08

file:///C:\Users\pu\AppData\Roaming\Tencent\Users\821959287\QQ\WinTemp\RichOle\EIG4}P(K1E4R4D_E3{FY0BD.png
逆向登陆：（至于怎么找到这几个地方的，论坛教程很多，自己下载学习吧！！）
第一处：

0044D9C1 B8 01000000    mov eax,0x1
0044D9C6 C2 1800       retn 0x18
0044D9C9 90             nop
第二处：

0040486F 8BE5          mov    esp,ebp
00404871 5D             pop    ebp
00404872 C3             retn
00404873 90             nop
00404874 90             nop
00404875 90             nop
00404876 90             nop
00404877 90             nop
第三处：

004389B7 8BE5          mov esp,ebp
004389B9 5D             pop ebp
004389BA C3             retn
004389BB 90             nop
004389BC 90             nop
004389BD 90             nop
004389BE 90             nop
004389BF 90             nop
第四处：

0040AE01 C3             retn
----------------------------------------------------------------------
以下是蓝屏插件检测出的地址：
0040CC66 C3             retn

004F9350 C3             retn

005201A5 C3             retn

005648E1 C3             retn

0056A852 C3             retn

0057D5E7 C3             retn

-------------------------------------------------------------------------
看了下软件所谓的授权限制功能，下面看图说话：

由于上两图中都出现了0xB540F0（即位置1和位置3），推断可能与是否授权有关，经过测试的确是这样的；在逆向掉登陆后0xB540F0存放的数由0变为1，授限制功能也可使用（由于对软件不熟悉，只测试抢号功能）。
层主只是初入逆向不久的新手望各位大牛勿喷！！！
求HB！！！

东少 · 发表于 2017-11-4 23:13

好像回复不能大篇幅，所以做了word，楼主自己看吧，后缀改成docx打开

xiaosi · 发表于 2017-11-5 06:25

东少发表于 2017-11-4 23:13
好像回复不能大篇幅，所以做了word，楼主自己看吧，后缀改成docx打开

非常感谢，晚上回去看一下

耶稣 · 发表于 2017-11-5 08:33

东少发表于 2017-11-4 23:13
好像回复不能大篇幅，所以做了word，楼主自己看吧，后缀改成docx打开

E盾特征码有变么怪不得之前很多E盾我用我的特征码总是找不到

E盾
登录55 8B EC 81 EC 1C 00 00 00
改mov eax,1
retn

合法CALL：55 8B EC 81 EC 20 00 00 00 C7 45 FC 00 00 00 00
改retn

蓝屏：55 8B EC 81 EC 2C 00 00 00 C7 45 FC 00 00 00 00 68 0C 00 00 00
改
mov eax,0x0
mov ebp,esi
pop ebp
retn

结束自身：55 8B EC 81 EC 1C 00 00 00 68 60 00 00 00
更改内容：
retn

Ctrl+F搜索：sub esp,0xa8
更改内容：
leave
ret
或者
mov esp,ebp
pop ebp
ret

Ctrl+F搜索：sub esp,84
更改内容
mov eax,0
mov ebp,esp
pop ebp
ret
-------------------------
验证到期时间
75 FB FF E6
改
ret

		自动登录	找回密码
密码			立即注册

736040552 当前离线窥视卡雷达卡头像被屏蔽	736040552 发表于 2017-11-4 20:56 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
736040552 当前离线窥视卡雷达卡头像被屏蔽	吾爱汇编论坛-学破解，防破解！知进攻，懂防守！逆向分析，软件安全！52HB.COM

另类强壳E盾，被作者改了的E盾

最佳答案

点评

评分

最佳答案本应属于楼主私有，因此限制查看

点评

点评