|
本站严厉禁止求脱求破行为(包含无自我分析直接求思路),如发现此类求助主题请点击“举报”,让我们共同维护优质的学习环境!
30HB
根据网络大牛的特征码逆向,登录后,发现时间不对,功能没有?不知道有人是否碰到这问题,发现没有2次验证,怀疑是dll文件搞的鬼,但是找不到思路,求大牛帮助!
直接上我的逆向分析思路
1、直接找特征码,
(关键)登录CALL特征码:Ctrl+F输入push 20
特征段如下:
00403454 $ 55 push ebp
00403455 . 8BEC mov ebp,esp
00403457 . 81EC 58010000 sub esp,0x158
0040345D . C745 FC 00000>mov dword ptr ss:[ebp-0x4],0x0
00403464 . C745 F8 00000>mov dword ptr ss:[ebp-0x8],0x0
0040346B . C745 F4 00000>mov dword ptr ss:[ebp-0xC],0x0
00403472 . C745 F0 00000>mov dword ptr ss:[ebp-0x10],0x0
00403479 . C745 EC 00000>mov dword ptr ss:[ebp-0x14],0x0
00403480 . C745 E8 00000>mov dword ptr ss:[ebp-0x18],0x0
00403487 . C745 E4 00000>mov dword ptr ss:[ebp-0x1C],0x0
0040348E . C745 E0 00000>mov dword ptr ss:[ebp-0x20],0x0
00403495 . C745 DC 00000>mov dword ptr ss:[ebp-0x24],0x0
0040349C . 68 20000000 push 0x20
在段首找到call,在call断首,发现“账号密码错误”,改
0040323E /$ B8 01000000 mov eax,0x1
00403243 \. C3 retn(根据断尾)
再在段首处,找到跳,到另一个call的段首,ret
-------------------------------------------------------------------------------
2、(关键)合法CALL特征码:Ctrl+S输入sub esp,84就是 也可以push 8 然后查找下一个几次就可以到达
00413BBE /$ 55 push ebp
00413BBF |. 8BEC mov ebp,esp
00413BC1 |. 81EC 84000000 sub esp,0x84
00413BC7 |. C745 FC 00000>mov [local.1],0x0
00413BCE |. C745 F8 00000>mov [local.2],0x0
00413BD5 |. C745 F4 00000>mov [local.3],0x0
00413BDC |. 68 08010000 push 0x108
改段首为
leave/ret/nop)
3、(偶尔调用)算法特征:Ctrl+S输入sub esp,0xA8就是 也可以push 8 然后查找下一个几次就可以到达
0044BDA0 /$ 8B5424 08 mov edx,dword ptr ss:[esp+0x8]
0044BDA4 |. 81EC A8000000 sub esp,0xA8
0044BDAA |. 81FA 80000000 cmp edx,0x80
0044BDB0 |. 53 push ebx
0044BDB1 |. 55 push ebp
0044BDB2 |. 56 push esi
0044BDB3 |. 57 push edi
0044BDB4 |. 0F86 AE020000 jbe client.0044C068
改段首为
leave/ret/nop
4、(暗装)结束自身特征码:Ctrl+F 输入push 60就是
0040DCAC /$ 55 push ebp
0040DCAD |. 8BEC mov ebp,esp
0040DCAF |. 81EC 1C000000 sub esp,0x1C
0040DCB5 |. 68 60000000 push 0x60
0040DCBA |. E8 515F0100 call client.00423C10
0040DCBF |. 83C4 04 add esp,0x4
0040DCC2 |. 8945 FC mov [local.1],eax
0040DCC5 |. 8BD8 mov ebx,eax
0040DCC7 |. 8BF8 mov edi,eax
0040DCC9 |. 33C0 xor eax,eax
0040DCCB |. B9 18000000 mov ecx,0x18
0040DCD0 |. F3:AB rep stos dword ptr es:[edi]
0040DCD2 |. 83C3 1C add ebx,0x1C
在断首找到call,返回call,找到跳转语句,改为jmp,跳转暗装
登录后,如下界面
时间不对,点击全部开始无反应
|
|