吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 87913|回复: 1070

[原创逆向视频] E盾网络验证之高度VM逆向教程(DNF卡盟车神)

  [复制链接]
hc122597632 发表于 2017-2-5 23:03 | 显示全部楼层 |阅读模式

大家好 我是永恒 今天给大家带来 卡盟车神的逆向教程(E盾+VM乱码)

看教程之前先说两句

不要看有43分钟的教程

大部分时间都是在废话  其实也就三个步奏

能一看就懂的人就不说了 关键是照顾一下基础还差的童鞋

有基础的童鞋可以跳着看 但是存在即是道理 也希望大家能抽空全部看完

我不会没事录制一先无关紧要的东西

读取函数 bp readfile
直接附加得了  字符串 除了他的功能公告提示 没什么卵用的东西
不管E盾个人版也好 企业版也好 其实作者都是同一个人  既然都是同一个人
逆向原来也不会相差太大  
不管个人版的还是企业版的  我只有能用逆向特征码去逆向
都不会太难  除非软件作者自己又在验证源码里面加了什么不得了的暗装或者算法等
E盾OD检测点 SUB,ESP,44
      SUB,ESP,68
这两个检测点 之前出古琴逆向教程的时候就已经说过了
个人版E盾 登陆14C 15C 150
      合法校验84
个人版的 本人逆向无数次E盾  也就总结出这三个命令
SUB,EBP,15C
SUB,EBP,150
SUB,EBP,14C
0040275A    C745 FC 0000000>mov dword ptr ss:[ebp-0x4],0x0
00402761    C745 F8 0000000>mov dword ptr ss:[ebp-0x8],0x0
00402768    C745 F4 0000000>mov dword ptr ss:[ebp-0xC],0x0
0040276F    C745 F0 0000000>mov dword ptr ss:[ebp-0x10],0x0
00402776    C745 EC 0000000>mov dword ptr ss:[ebp-0x14],0x0
0040277D    C745 E8 0000000>mov dword ptr ss:[ebp-0x18],0x0
00402784    C745 E4 0000000>mov dword ptr ss:[ebp-0x1C],0x0
0040278B    C745 E0 0000000>mov dword ptr ss:[ebp-0x20],0x0
00402792    C745 DC 0000000>mov dword ptr ss:[ebp-0x24],0x0
这里可以算是一个特征把
push 0x20 也可以算是一个特征
看见有这两处地方 就是了
00402751    B8 01000000     mov eax,0x1
00402756    C2 1800         retn 0x18
00402759    90              nop
这个是E盾的取错误文本
进源码看一下  
错误指令这里 我们需要改平衡就可以
= =  易语言也跟我玩傲娇了
验证结果文本  这里的特征就是他取的错误信息
然后通常 错误信息改平衡之后 就是逆向成功了
验证_合法性检测 () 但是一般都有合法性检测
SUB,EBP,84 
合法性检测会导致当程序运行到这里的时候  如果不是正版用户
将会摧毁进程任务  今天的易语言真傲娇
SUB ESP,84
00412F45    B8 00000000     mov eax,0x0
00412F4A    8BEC            mov ebp,esp
00412F4C    5D              pop ebp
00412F4D    C3              retn
平衡特征的话
00412F4E    C745 FC 0000000>mov dword ptr ss:[ebp-0x4],0x0
00412F55    C745 F8 0000000>mov dword ptr ss:[ebp-0x8],0x0
00412F5C    C745 F4 0000000>mov dword ptr ss:[ebp-0xC],0x0
00412F63    C745 F0 0000000>mov dword ptr ss:[ebp-0x10],0x0
00412F6A    C745 EC 0000000>mov dword ptr ss:[ebp-0x14],0x0
00412F71    C745 E8 0000000>mov dword ptr ss:[ebp-0x18],0x0
这里算一个
push 0x8 也是一个 如果同时有这两处地方 就是毫无疑问了
修改指令mov eax,0x0   mov ebp,esp  pop ebp  retn
平衡的话 估计不少朋友已经会了  
不过一般常见的平衡修改是 mov esb,ebp 
             pop ebp
             retn
我加了一个mov eax,0
也没啥影响 主要有次逆向一个E盾 一改合法检测就会崩溃 我改成这样就成功了
让我着实郁闷很久 打开软件 直接就退出了  如果没有E盾验证的条用 直接改平衡也无法运行软件
所以我说 我还是很机智的 想到了这么一个办法去平衡 我们就是太过拘泥于前人的思路里面无法自拔
修改稍稍一修改 就可以了
那么到这里  就逆向成功了 但是经过本大人无数次被蓝屏的经验总结得出 还有一个暗装
那就是判断验证时间到期时间是否小于0的暗装
如果小于了 那么就是逆向的  就会触发蓝屏
就算搜索特征把蓝屏去了 程序也就结束  所以 我也抓了一个特征码
先打开 把这天命令调用一下  找到特征码也就可以逆向成功了
.版本 2
.如果真 (到整数 (验证_读验证返回数据 (#验证返回_剩余时间)) < 1)  ' 这里检测 剩余时间如果小于1 那么肯定是PJ了过来了。
    惩罚_立即蓝屏 ()
    惩罚_结束当前进程 ()
    延时 (55555555)
    置入代码 ({ 51, 192, 51, 201, 51, 210, 51, 219, 51, 228, 51, 237, 51, 246, 51, 255 })  ' 这句让程序崩溃
判断到期时间暗装
83 C4 04 83 7D ?? 01 0F 8D
83 C4 04 83 7D ?? FF FF FF 01 0F 8D
方便查看字符串
就是这个跳转

这个就是特征码 但是04这里是变动的 每个程序的都不一样 对比过许多E盾
这里打个随机特征码就可以  83 C4 ?? 83 7D F8 01 0F 8D

00427B99   /EB 31           jmp X车神.00427BCC
00427B9B   |90              nop
00427B9C   |90              nop
00427B9D   |90              nop
00427B9E   |90              nop
就是这个jge跳转了 0F 8D 特征的意思的jge
凡是触及到打补丁的地方 软件就会自动先结束 信息框都没有 昨天换了系统后就这样
估计是系统问题 明天还得换个系统 晕 好了教程就到这里把
尴了个尬  装逼感太强 一不注意说错了
83 C4 04 83 7D ?? 01 0F 8D 正确的特征码是这个  不过好在搜出来的貌似都是同一个地方
对于其他软件可能就不一定了
好了 打个补丁把
这易语言有毒 凡是涉及到打补丁的地方都给我玩崩溃
卡了  靠 我记得03版本是无壳的 总之方法就是这样 我去下载一个无壳的保存把
剩下的大家可以跳过 只是本人不把这个逼装完 心中不安

屌丝链接:
游客,如果您要查看本帖隐藏内容请回复


用的是微云链接  微云链接的现在容易挂 上传附件的话 已经有了27MB 文件过大了

明天给大家补上百度链接把  那玩意儿 贼稳




E盾网络验证之高度VM逆向教程(-D-N-F-卡盟车神)
https://www.52hb.com/thread-33425-1-1.html
(出处: 吾爱汇编论坛-软件逆向分析工程师的摇篮-懂进攻知防守!)






1.png

点评

退隐猫九_”点评说:
楼主还能补一下连接不  发表于 2017-4-28 18:39
冷月浮华丶”点评说:
说出来你可能不信,帮助一波人装了一波比  发表于 2017-2-7 15:13
Falsse”点评说:
讲解的很细腻..很好的教程 非常感谢你..我代表所有的 新手感谢你  发表于 2017-2-6 01:49

评分

参与人数 76威望 +1 HB +119 THX +47 收起 理由
禽大师 + 1
虚心学习 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
lies + 1
yexing + 2
别管我了行 + 2
taobao199010 + 2
消逝的过去 + 1
zxjzzh + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
九一刘先生 + 1
allenzjb + 1
ghostxu + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
agan8888 + 1
z6151188 + 1 + 1
卧听风雨 + 1 + 1 [快捷评语]--评分=感恩!简单却充满爱!感谢您的作品!
chenyu + 1 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
f111y + 1 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
1198999348 + 1 + 1 谢谢
1161070336 + 1 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
vcxiong + 1 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
x2206090 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
a132257s + 1 + 1 [快捷评语] - 评分=感恩!简单却充满爱!感谢您的作品!
破匣求禅 + 1 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
825126688 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
123-木头人 + 2 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
菜鸟中的菜鸟 + 1 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
hardchao + 1 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
ganyilu + 1 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
萌萌猫 + 3 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
火云邪神 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
xiaosi + 2 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
liumeng + 2 [快捷评语] - 分享精神,是最值得尊敬的!
a416702 + 1 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
dongxilove1 + 1 下载链接失效了
rgbwcwmd + 3 + 1 [快捷评语] - 2017,让我们17学破解!
hbj54 + 1 大牛补一下链接
hpppmt + 1 链接挂了求补
Essane + 2 + 1 楼主能不能补一下链接
Hk微笑 + 1 补一下链接啊大神
wrighthao + 1 [快捷评语] - 2017,让我们17学破解!
星丶空 + 1 + 1 [快捷评语] - 2017,让我们17学破解!
xuez119 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
飞鱼快跑啊 + 2 + 1 可以补一下链接吗?
小企-2016 + 2 + 1 [快捷评语] - 2017,让我们17学破解!
liu842827861 + 1 楼主链接挂了。。能补一下么= =
Saimoe + 1 [快捷评语] - 分享精神,是最值得尊敬的!
雨语 + 1 [快捷评语] - 评分=感恩!简单却充满爱!感谢您的作品!
laodaoWULITOU + 1 [快捷评语] - 分享精神,是最值得尊敬的!
a767421378 + 1 + 1 链接挂了 请求补下连接
梦颀丶 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
九月 + 1 链接掉了

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
安林 发表于 2017-2-5 23:12 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
无聊 发表于 2017-2-5 23:13 | 显示全部楼层

顶一个 感谢楼主分享教程哦
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| hc122597632 发表于 2017-2-5 23:14 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
安林 发表于 2017-2-5 23:15 | 显示全部楼层

hc122597632 发表于 2017-2-5 23:14
妈蛋  谁让你抢我沙发了

我我爱你粑粑 尊师重道
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| hc122597632 发表于 2017-2-5 23:16 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
maxtang0810 发表于 2017-2-5 23:17 | 显示全部楼层

这文字讲的好详细  给楼主赞一个~感谢分享~
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
zzzxc123 发表于 2017-2-5 23:21 | 显示全部楼层

哇 这个屌这个屌
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
s768067871 发表于 2017-2-5 23:33 | 显示全部楼层

感谢楼主热心分享
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Cyrus_xxx 发表于 2017-2-5 23:45 | 显示全部楼层

看看大神的思路。谢谢分享。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表