e-盾逆向后，功能时间等失效？

fzm0001 · 发表于 2018-1-22 20:04

根据网络大牛的特征码逆向，登录后，发现时间不对，功能没有？不知道有人是否碰到这问题，发现没有2次验证，怀疑是dll文件搞的鬼，但是找不到思路，求大牛帮助！
直接上我的逆向分析思路
1、直接找特征码，
（关键）登录CALL特征码：Ctrl+F输入push 20
特征段如下：
00403454 $  55          push ebp
00403455 .  8BEC       mov ebp,esp
00403457 .  81EC 58010000 sub esp,0x158
0040345D .  C745 FC 00000>mov dword ptr ss:[ebp-0x4],0x0
00403464 .  C745 F8 00000>mov dword ptr ss:[ebp-0x8],0x0
0040346B .  C745 F4 00000>mov dword ptr ss:[ebp-0xC],0x0
00403472 .  C745 F0 00000>mov dword ptr ss:[ebp-0x10],0x0
00403479 .  C745 EC 00000>mov dword ptr ss:[ebp-0x14],0x0
00403480 .  C745 E8 00000>mov dword ptr ss:[ebp-0x18],0x0
00403487 .  C745 E4 00000>mov dword ptr ss:[ebp-0x1C],0x0
0040348E .  C745 E0 00000>mov dword ptr ss:[ebp-0x20],0x0
00403495 .  C745 DC 00000>mov dword ptr ss:[ebp-0x24],0x0
0040349C .  68 20000000 push 0x20

在段首找到call，在call断首，发现“账号密码错误”，改
0040323E  /$  B8 01000000 mov eax,0x1
00403243  \.  C3          retn（根据断尾）

再在段首处，找到跳，到另一个call的段首，ret
-------------------------------------------------------------------------------
2、（关键）合法CALL特征码：Ctrl+S输入sub esp,84就是也可以push 8 然后查找下一个几次就可以到达

00413BBE  /$  55          push ebp
00413BBF  |.  8BEC       mov ebp,esp
00413BC1  |.  81EC 84000000 sub esp,0x84
00413BC7  |.  C745 FC 00000>mov [local.1],0x0
00413BCE  |.  C745 F8 00000>mov [local.2],0x0
00413BD5  |.  C745 F4 00000>mov [local.3],0x0
00413BDC  |.  68 08010000 push 0x108

改段首为
leave/ret/nop）
3、（偶尔调用）算法特征：Ctrl+S输入sub esp,0xA8就是也可以push 8 然后查找下一个几次就可以到达

0044BDA0  /$  8B5424 08    mov edx,dword ptr ss:[esp+0x8]
0044BDA4  |.  81EC A8000000 sub esp,0xA8
0044BDAA  |.  81FA 80000000 cmp edx,0x80
0044BDB0  |.  53          push ebx
0044BDB1  |.  55          push ebp
0044BDB2  |.  56          push esi
0044BDB3  |.  57          push edi
0044BDB4  |.  0F86 AE020000 jbe client.0044C068

改段首为
leave/ret/nop
4、（暗装）结束自身特征码：Ctrl+F 输入push 60就是

0040DCAC  /$  55          push ebp
0040DCAD  |.  8BEC       mov ebp,esp
0040DCAF  |.  81EC 1C000000 sub esp,0x1C
0040DCB5  |.  68 60000000 push 0x60
0040DCBA  |.  E8 515F0100 call client.00423C10
0040DCBF  |.  83C4 04    add esp,0x4
0040DCC2  |.  8945 FC    mov [local.1],eax
0040DCC5  |.  8BD8       mov ebx,eax
0040DCC7  |.  8BF8       mov edi,eax
0040DCC9  |.  33C0       xor eax,eax
0040DCCB  |.  B9 18000000 mov ecx,0x18
0040DCD0  |.  F3:AB       rep stos dword ptr es:[edi]
0040DCD2  |.  83C3 1C    add ebx,0x1C

在断首找到call，返回call，找到跳转语句，改为jmp，跳转暗装
登录后，如下界面
QQ截图20180122200242.png

时间不对，点击全部开始无反应

fzm0001 · 发表于 2018-1-22 20:06

文件连接
https://share.weiyun.com/166a4df5fbd9119d1e5390aac44e33d2
密码：jg3e

fzm0001 · 发表于 2018-1-22 20:08

本帖最后由 fzm0001 于 2018-1-22 20:10 编辑

00423C9F /. 55 push ebp ; 全部开始按钮段首
在此段中
00423D57 /0F84 A9020000 je 道无边01.00424006
改为nop，让程序加载大漠插件，但是还是无用

在到期时间段中，发现明显加载了目录下的dll文件
QQ截图20180122201002.png

RURG · 发表于 2018-1-22 23:16

这个地方再试试看看效果

吾名邓艾 · 发表于 2018-1-22 23:33

有几个小暗装。你现在试试，不知道什么游戏没法调试

fzm0001 · 发表于 2018-1-23 09:15

吾名邓艾发表于 2018-1-22 23:33
有几个小暗装。你现在试试，不知道什么游戏没法调试

现在在中控里可以看到雷电模拟器进程，但是任务还不能执行。你修改的是哪个地方呢？
QQ截图20180123091607.png

落叶清风 · 发表于 2018-1-24 18:30

注意看CALL就行

		自动登录	找回密码
密码			立即注册