E盾 之 CALL

标题：E盾【原创】
作者：XXX
时间：2017-2-22
出品：www.52HB.com
===================================================================================
    本是没有时间去做这个视频的，但是朋友也很希望我出这个教材，也不知道帮了多少忙，拿了多少个材料，视乎忘了。竟然这样，就跟大家说说。之前就原本就录好，但是好心为了想做的详细点，用了不知道很多种方法，改了，保存了20多个EXE，全部运行测试，每次20多就触暗装，两次，加上时间的紧凑，差点没给气吐血。
        但是，后来想想，好像没那个必要。抽出重点 ，似乎就可以认知关键所在，太多反而浪费时间！
        节省时间，我们就不废话
        开始吧！
        今天要说的就是下面4个内容，请允许我不用吾爱汇编论坛OD，因为吾爱汇编论坛OD有显示一些函数，影响观看，我就随便找了个。
        改分析解释的地方都备注了，我弄之前都这样备注，容易看。
        
        
=======检测OD    sub esp,0x4
之前我们过检测都是用特征找到调用的地方，但是我们也并不知道检测CALL是长啥样的，我们看看吧。

004175DD   $  55            push ebp                                 ;  检测OD区段
004175DE   .  8BEC          mov ebp,esp
004175E0   .  81EC 04000000 sub esp,0x4                              ;  0= 未发现异常
004175E6   .  EB 10         jmp short 端.004175F8                     ;  1= 本进程被调试运行
004175E8   .  56 4D 50 72 6>ascii "VMProtect begin",0                ;  2=检测到OD正在运行
004175F8   >  E8 49000000   call 端.00417646
004175FD   .  85C0          test eax,eax
004175FF   .  0F84 0A000000 je 端.0041760F
00417605   .  B8 01000000   mov eax,0x1
0041760A   .  E9 31000000   jmp 端.00417640
0041760F   >  E8 37030000   call 端.0041794B
00417614   .  85C0          test eax,eax
00417616   .  0F84 0A000000 je 端.00417626
0041761C   .  B8 02000000   mov eax,0x2
00417621   .  E9 1A000000   jmp 端.00417640
00417626   >  B8 00000000   mov eax,0x0
0041762B   .  E9 10000000   jmp 端.00417640
00417630   .  EB 0E         jmp short 端.00417640
00417632   .  56 4D 50 72 6>ascii "VMProtect end",0
00417640   >  8BE5          mov esp,ebp
00417642   .  5D            pop ebp[/hide]

现在的检测OD长这样的。不管是定制还是普通个人版。当然，我们知道call的话，就可以用我们的思路或是方法做点什么，最简单的不过就是段首retn？确实。我这里就不用备注的改，用另一个改。都是一样的！段首就是最简单暴力的方法，无所不知。当然，你也可以用一些别的处理方法，去掉这个？但是, 有点就是，定制版的跟个人版处理是不同的。虽然同样的CALL，但是它里面是写入两次检测。段应该是子程序。
看到没有！但是，这样就可以去掉了。其实普通版断这里也是可以的。怎么做，或用什么方法，就看你们怎么玩。呵呵

游客，如果您要查看本帖隐藏内容请回复

它就是验证用户登录的帐号密码，我们一般都说登录。E的特点就是登录的下面就是140  14C  150  158 168等等。
一般我简称它为运算机制，我们可以不知道它是怎么运作的，但是你得懂它是干嘛用的。之前的逆向都是这里赋值1
   这里我想说下，之前的版本应该是登录的运算机制和合法的运算是一起的。但是不知什么版本后就是分开的了，或许是作者自己写的。
但是，我们还是有些认知，剩下的怎么做就靠你自己想咯。

这些是我给E盾拆了，这样就搜不到84了。之前的版本是可以的，就好比合法里面也是没有150的。它们分开运作的。我竟然拿错 = =！
看看，我们搜不到的。

游客，如果您要查看本帖隐藏内容请回复

上面我也备注了，跟它源码的备注。它是登录后立马调用来检测是否属于合法。
它不能作为登录前来检测，你帐号密码都没输入，怎么检测和判断，不可能的事。这里也同理，我们看下下面是不是84，登录有登录的运作机制，它有它的，独立。
--------------------------------------
还有，这里我说下，之前那些用这个逆向的，我稍微简单说说。
之前你们改这个跳转都是改全部，其实真的没必要。只要三个或干脆直接不用，直接跳过去。

游客，如果您要查看本帖隐藏内容请回复

这个就是判断本地运算结果和服务器是否一致。剩下的就是A，B，C，D。剩下的就是最后两个检测跳
你改的时候可以直接改这个，还有最后两个。如果你改了那些4个，就还得改第一个。但是，你改了这个本地运算结果就不需要改那4个。本地都过了，还算个P？

游客，如果您要查看本帖隐藏内容请回复

游客，如果您要查看本帖隐藏内容请回复

这个你们也可以看看，也可以不要去刻意记。这些就是登录失败以后返回的文本信息，信息框内容。当然，你想玩点别的也可以。
本打算不说这个，但是，还是觉得可以你们用到。我这里给你们看下，服务器体系的吧。我记得84里面有9个中跳，3个大条，我之前好像看过一个视频就是那样逆向的，当然你们也可以参考参考哦。

===============================================================================
好了，就差不多了。我做这个教程的目的不是教你们如何逆向，请你们别误解。我是希望你们认知CALL，还有说一些之前的做法和现在的思路
要是我每个分析方法都出个教程，那我不是的录几十个教程？那还不得累死？ 所以，我想给你们说说这些，让你们识别，帮助你们逆向，进一步了解E盾。本来要示范的，但是还是算了，你们自己研究自己测试吧。毕竟我教的不是分析方法。然后又偷懒的节省点时间，哈哈。之后就看你们了，根据你们个人能力去逆向，看你们能把E盾玩出什么花样。
别让我朋友送我一句话那样，E盾待我如初恋，我虐E盾千百遍。意淫而已，作者别在意！！再见！~！~


最后，可能这个视频出了。E盾也会跟随脚步改版本！

===================被VM的怎么逆向？

为什么还是有人总问我VM过的E盾怎么弄，怎么逆向？
我可以说你们完全是傻到极致了？ 你们完全不注重我帖子讲的是什么，说的是什么。
如果不懂变通！那我是不是按照每个被VM过的E盾动手去指导，那不是要弄到天荒地老？
-------------------------
逆向一个软件，首先最基本的就是了解这个软件，就是因为不了解才难入手。
如果，我只针对某个VM过的E盾软件进行逆向，然后做教程
毋庸置疑，大家都只会教程里的这个被我破的VM的E盾软件  或  VM同样的E盾。


VM是属于虚拟加密，壳种诸多，再加上作者的编写手法不同，就会出现，我教什么你们会什么的结果，然后，死板的跟着做而已，你确定，你真的懂？
也因此，你永远得不到自己成长的空间。
而我做教程的目的是希望你们对E盾的了解
以这篇教程来说，就是让你进一步了解E盾，然后根据自己的能力去进行逆向。

地址：http://pan.baidu.com/s/1hsQdsRa
         

游客，如果您要查看本帖隐藏内容请回复

hc122597632 发表于 2017-2-22 12:52
来爆菊了 哇哈哈

兄弟，求放过

chycry5123 发表于 2017-2-22 13:28
如果 头部被VM 这些就没用了吧？

你好像还没明白我说得是什么。还有，VM，前面三句是保留得

121325925 发表于 2017-2-23 12:13
我能不能不回复直接看帖

能啊，只要你遇见天上掉下馅饼的时候就是不回帖能看的时候了。

So丶学狼承枫 发表于 2017-2-23 17:05
谢谢老师的教程

哈，你竟然不给我评分。差评，差评，差评

So丶学狼承枫 发表于 2017-2-23 19:19
给，我给，别给差评啊亲。

这还说的过去，吃饭。

耶稣 发表于 2017-2-25 09:38
E盾过来支持下  E盾特征码视乎 每个版本都不一样啊

作者也不是每个都改，关键点还是稍微改改。不改人家怎么混

耶稣 发表于 2017-2-25 17:25
哪有什么方法可以改了找到？  现在FZ都是变态  进去全部 给你VM 无从下手

基本了解E后，让它解码后就可以找到了。它前面三句是没办法VM的！

耶稣 发表于 2017-2-25 17:25
哪有什么方法可以改了找到？  现在FZ都是变态  进去全部 给你VM 无从下手

论坛不是有头被VM的那个教程就教了，你可以用这两个函数玩，或下内存。你要是找些比较容易的练练手再玩高难度的，悬赏区有好像，我记得很早以前有一个叫什么六巨什么发个E盾的软件，也是SE的，找个过检测的OD去练手，用窗口枚举函数，send。就可以了！解码你看E里面是不到401000，主动输入搜索就到了，到了就可以搜索了特征。反正我觉得它是一个很好的练手VM

耶稣 发表于 2017-2-25 18:12
现在SE和VMP壳 检测很严啊   我之前用的OD有些软件连运行都不来     你那边有OD么 可以发我么

抱歉，我没办法发你。所以，你还是另寻吧。