以为捏的是软柿子，实则为榴莲。记录豪迪群发2018.5.1版逆向过程

最近看多了几个视频教程，开始飘了。开始找多人弄的软件捏了。此文简单记录下破豪迪群发2018.5.1版的过程。也当做个笔记吧。

未注册时，群发信息有小尾巴!。。。

简单分析下，决定先撸掉注册界面开始。
程序为Delphi编写，无壳。OD载入。。。

按钮事件走起!
Delphi & VB事件断点查找脚本.rar (496 Bytes, 下载次数: 27)

2018-5-5 15:12 上传

点击文件名下载附件

0055261F  |.  E8 1883F2FF   call qqqf.0047A93C                       ;  读出假码
0055264F  |.  83F8 0B       cmp eax,0xB                              ;  判断假码位数
00552665  |.  8038 32       cmp byte ptr ds:[eax],0x32               ;  第一位是2
00552757  |.  E8 A01FEBFF   call qqqf.004046FC                       ;  把机器码和假码串起来发网站验证
串连好的符串 "http://www.hd466.com/check.dll?id=0217628807&sn=021234567891")
网站返还的信息 "ER:注册码错误，请核对后重新填入！"


00552784  |.  BA CC2A5500   mov edx,qqqf.00552ACC                    ;  ER
00552789  |.  E8 FA1FEBFF   call qqqf.00404788
0055278E  |.  75 25         jnz short qqqf.005527B5                  ;  如果找到ER，则表示是错的。

分析后发现，这个CALL是把机器码和输入的假码串起来发送到服务器进行验证的。并没有突破点。


那就回溯一下，看上一个CALL有没有发现。

CTRL+F9后

经分析，此处有2处可跳过，但会报错的，无奈，只能继续往上找了。再回溯一层看看。

追了N层了，发现并没有突破口。好吧，做了个错误示范。咱重新开始!!!!

把按钮事件断点删了，重新载入。查找字符串。查找图一的“注册”。

有发现。

005524F7  |.  E8 7084F2FF   call 复件_qqq.0047A96C
005524FC  |.  803D 04815900>cmp byte ptr ds:[0x598104],0x0
00552503  |.  74 10         je short 复件_qqq.00552515


CALL ***
比较  ***
跳转  ***
简直不能太熟悉。
来吧，把JE改NOP看下。


难道!？？？？？？？？？？!!!!成功了吗？
燃鹅，并没有，主窗口没显示已注册字样，保存出来后，群发信息也还是有小尾巴的。

cmp byte ptr ds:[0x598104],0x0
这是关键比较了？
有常量比较，试着找下，还有哪里也调用了。

Breakpoints
地址       模块       激活                       反汇编                                注释
00551F47   复件_qqq     始终                         mov byte ptr ds:[0x598104],0x0
00551F4E   复件_qqq     始终                         cmp byte ptr ds:[0x598104],0x0
00552064   复件_qqq     始终                         mov byte ptr ds:[0x598104],0x0
0055225E   复件_qqq     始终                         mov byte ptr ds:[0x598104],dl
005522A3   复件_qqq     始终                         mov byte ptr ds:[0x598104],al
005522A8   复件_qqq     始终                         cmp byte ptr ds:[0x598104],0x0
005524FC   复件_qqq     始终                         cmp byte ptr ds:[0x598104],0x0

下断。重新载入。。。

差点点就是传说中的1字节爆破了。真可惜。。

保存，运行起来。什么情况？


看来并不是软柿子。还得继续捏。。。。。
重新载入。字符串找找





00551185     /E9 BC010000   jmp 复件_qqq.00551346
0055118A     |90            nop


这个就很好解决了。

燃鹅，就算提示注册成功了。点击发送群信息时

什么情况？不是已经注册成功了吗？

楼主撸到这里，已经隐隐感觉到捏上榴莲了。但为了面子，不能不继续啊。
MessageBoxA 断点--回溯2层后。此外改下。



什么鬼？手痛!，不是已经注册了吗？
小尾巴在向我示威呢。

找此处的爆破点很偶然。。。本来已经打算丢到最牛叉的OD里了的。


过程是这样的，找了下字符串。并没有发现有能用的关键字。
然后看了下群发的信息，小尾巴和我要发的内容隔了好几行。然后在之前找字符串时看到有/n字样。恩。这就是无意间发现的爆破点，也是写出此文记录的原因。

找字符串/r/n


找到的全下断。
经多次调试分析后，改了此处，群发好友没有小尾巴了。

/r/n找到的字符串断点不少。我没具体分析，不知其它功能是否还会有小尾巴。但用这个方法，估计也是能解决的。


附件解压密码：www.xuepojie.com

好了，解决小尾巴了。那么，你以为榴莲捏完了吗？
并没有。且看下图。



自定义文本可以发，没问题。
但如果要插入文件，插入图片，插入表情。都是显示成乱码的!!!

那么。。。欲知撸主如何徒手劈榴莲，且听下回讲解!!!


手劈榴莲下集：--->https://www.52hb.com/thread-37686-1-1.html

思路很灵活，赞~

感谢楼主分享

感谢楼主表演了一波手劈榴莲

有点意思  写起来像个幽默故事

看看学习一下·

楼主，这个回复乱码是它的一个自校验，可以从原版哪里复制正确信息放在逆向版本上哈

感谢楼主分享

菜鸟一枚边看边学

哦哟~来学习榴莲了