本帖最后由 顺流逆流 于 2015-6-17 16:48 编辑
没事找了个VMP壳金盾3.0玩,果断用伪造登录来逆向。
结果打完补丁,运行进去了,但是弹窗提示:账号到期,5秒后关闭。
实在找不到问题所以,请大牛们帮忙看看!感谢哈!
软件下载地址:http://pan.baidu.com/s/1bn553kF
不知道为什么上传不了截图,就附带文字说明,请多包涵:
1、补到期时间码:
004B6F64 52 push edx
004B6F65 6967 68 742CB5C>imul esp,dword ptr ds:[edi+0x68],0xC7B52>
004B6F6C C2 BDB3 retn 0xB3BD
004B6F6F C9 leave
004B6F70 B9 A62CB5BD mov ecx,0xBDB52CA6
004B6F75 C6 ??? ; 未知命令
004B6F76 DACA fcmove st,st(2)
004B6F78 B1 BC mov cl,0xBC
004B6F7A E4 CE in al,0xCE
004B6F7C AA stos byte ptr es:[edi]
004B6F7D 3A39 cmp bh,byte ptr ds:[ecx]
004B6F7F 3831 cmp byte ptr ds:[ecx],dh
004B6F81 34 30 xor al,0x30
004B6F83 3330 xor esi,dword ptr ds:[eax]
004B6F85 3000 xor byte ptr ds:[eax],al
004B6F87 0000 add byte ptr ds:[eax],al
004B6F89 B8 646F4B00 mov eax,新版商业.004B6F64
004B6F8E 68 A68D4B04 push 0x44B8DA6
004B6F93 - E9 43514900 jmp 新版商业.0094C0DB
004B6F98 90 nop
-------------------------------------------------------------------------------------------------------------
2、做跳转
0094C0D6 - E9 C0AEB6FF jmp 新版商业.004B6F9B
0094C0DB 66:C70424 3E20 mov word ptr ss:[esp],0x203E
0094C0E1 C60424 82 mov byte ptr ss:[esp],0x82
3、去二次校验
第一个:
0041D556 B8 01000000 mov eax,0x1
0041D55B C2 0800 retn 0x8
0041D55E 90 nop
0041D55F C745 FC 0000000>mov dword ptr ss:[ebp-0x4],0x0
0041D566 C745 F8 0000000>mov dword ptr ss:[ebp-0x8],0x0
第二个:
0041304C B8 01000000 mov eax,0x1
00413051 C3 retn
00413052 90 nop
00413053 90 nop
00413054 90 nop
00413055 C745 FC 0000000>mov dword ptr ss:[ebp-0x4],0x0
0041305C C745 F8 0000000>mov dword ptr ss:[ebp-0x8],0x0
---------------------------------------------------------------------------------------------------
补丁数据:
0094C0D6
E9AEAEB6FF
004B6F64
52696768742CB5C7C2BDB3C9B9A62CB5BDC6DACAB1BCE4CEAA3A3938313430333030000000B8646F4B0068A68D4B04E94351490090
0041D556
B801000000C2080090
0041304C
B801000000C3909090
伪造登录进去了 但是会提示:
Erro,账号已经过期,请充值,程序将会在5秒后关闭!
我伪造的到期时间是:2016年7月 理论上是不会提示到期的!
希望大牛帮忙 在线等!!!
|