一款E盾加密，我已经研究了很久了，最近注册都是查看所有关于E盾的帖子，还是没收获

zhangsanfeng · 发表于 2018-11-4 13:55

本帖最后由 zhangsanfeng 于 2018-11-4 14:08 编辑

特地充值了Hb来求悬赏，希望大神们帮助答疑解惑。
https://pan.baidu.com/s/1daUxu3k6dEBCEwWNTHNnzw
这是软件下载地址，某游戏FZ，E盾加密。
查壳后是UPX，脱壳机就脱了，这里就不上图了。
E盾的思路。
找登陆，查中文字符串，发现并没有可用的字符串诸如“卡密错误”没填入卡密怎么登陆“之类的提示。
或者EB1056等特征字符串

如下图

虽有多少天后到期，登陆成功等，分析后发现并不靠谱，或者个人分析错误。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
遂改变思路，换查找特征码

sub esp,144

结果是无。。。
其余特征码不再一一表述。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
再改变思路

找登陆
mov dword ptr ss:[ebp-0x4],0x0
mov dword ptr ss:[ebp-0x8],0x0
mov dword ptr ss:[ebp-0xC],0x0
mov dword ptr ss:[ebp-0x10],0x0
mov dword ptr ss:[ebp-0x14],0x0
mov dword ptr ss:[ebp-0x18],0x0
mov dword ptr ss:[ebp-0x1C],0x0
mov dword ptr ss:[ebp-0x20],0x0
mov dword ptr ss:[ebp-0x24],0x0
push 0x20

命中后筛选出一处

。
改
mov eax,0x1
00402756 C2 1800 retn 0x18
这里奇怪的地方是我找不到段尾，通过转到下个函数过程看上面，整好是retn 0x18

遂改之。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
mov dword ptr ss:[ebp-0x4],0x0
mov dword ptr ss:[ebp-0x8],0x0
mov dword ptr ss:[ebp-0xC],0x0
mov dword ptr ss:[ebp-0x10],0x0
mov dword ptr ss:[ebp-0x14],0x0
mov dword ptr ss:[ebp-0x18],0x0
push 0x8
命中筛选出一处

同样

mov eax,0x0 （这里也尝试过将eax赋值再空代码处编辑的999999）
00412F4A 8BEC          mov ebp,esp
00412F4C 5D             pop ebp
00412F4D C3             retn（这里同样找不到段尾，如上通过转到下个函数过程看上面，是retn 0x4，因此retn和retn 4都尝试过）
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
完成后保存，一会儿软件自动退出。

通过火绒剑查看软件行为，发现send后因为未受到服务器反馈消息，自动退出（该软件服务器已挂）。怀疑前面的登陆和合法都找错了。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
再换思路动态调试。
F9运行，直接已终止。

关于检测OD，特征码和字符串都无相关提示。
ＳＵＢ，ＥＳＰ，４４
ＳＵＢ，ＥＳＰ，６８
虽然能搜到，明显也不正确。
换冷小黑E盾过检测。OD直接不能正常载入该软件。
上虚拟机运行XP，软件能正常载入，F9直接卡死。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

至此所有思路都尝试过了，下时钟断点能断下，分析不出来。

特地充值HB寻求帮助，主要是思路。感谢大家了

飙车王 · 发表于 2018-11-4 14:26

这是E企放弃吧

oawxx · 发表于 2018-11-4 14:35

看了一下，应该是UPX+VMP+E企。建议楼主直接放弃。

1234567 · 发表于 2018-11-4 16:35

回收站吧
这个搞不定的

ale666 · 发表于 2018-11-4 19:57

158是E企= =最强od你值得拥有

Cloud · 发表于 2018-11-4 20:01

100 送你个最强OD 丢入即可逆向

cuizhixin009 · 发表于 2018-11-4 20:23

我擦你这软件有毒吧我下载两次运行就关机了两都关机了

【By】岁月无痕 · 发表于 2018-11-4 20:48

这个是DNF的脚本FZ叫牛头怪吧，E盾企业定制版

W_H_I · 发表于 2018-11-5 11:41

回收站OD处理！UPX加壳，进去VMP加壳，然后最关键的是E企

yaozi520be · 发表于 2018-11-7 02:32

E企,玩得动的手指可以数出来

		自动登录	找回密码
密码			立即注册