全VM的易游如何找变量数据

首先，谢谢恒大创建这个论坛，让我们新手有交流和资源分享的平台，这次，我接连两次遇见全VM的软件，第一次是核盾的，反调试，但是感谢论坛的大大，我解决了，这次这个软件，不仅加密了字符串，而且加密了函数，比如GetVarible接口，在程序段搜索字符串，直接是搜索不到的，而且，普通的打补丁比如PYG的内存补丁，是打不上补丁的，不知道大伙是这样的情况不，反正我是等到完全解码后打补丁的。



软件的地址先附上吧：
https://pan.baidu.com/s/1ntgifjL26lE-HIZ600Q8mw

关键的难点不是打补丁，我认为是获取数据，而且，小菜的我发现该软件还获取CPU和网卡数据，不知道我的理解对不，在易语言运行库下断，会不停在检测驱动模块和进程列表循环，搜索Process32Next然后段首返回，能跳过循环。

之前被程序的数据返回量吓了一跳，因为自己接触的是不带变量的，下面是封包拦截的URL(仅登陆)：

http://w.eydata.net/1e5f468f0b2941e1ca 594015
http://w.eydata.net/ca601f77b87aa81410 594053
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779

http://w.eydata.net/f4538cb5529874b779 59409B
http://w.eydata.net/950ae70624c4ee3d31 5942B2
http://w.eydata.net/4b112e197e251b91b3 5AA064
http://w.eydata.net/3317f58ad46e6dad69 5AA09D


获取到了用户注册和充值改密WEB 链接，但是也只能高兴一小会，因为账号验证全在登陆上，附上我获取到的数据：
密钥：
0C28D4271B91F340C4177F36C0ED07BB

注册：
93a5e1bfa144f38298
登陆：
1e5f468f0b2941e1ca
充值：
b389ffe54d2de879f5
到期：
3317f58ad46e6dad69
变量(不确定，没接触过)：
f4538cb5529874b779


下面附上我疑惑不解的几张图：




希望大神帮忙解答为什么登陆封包会出现这个多链接？不是一个登陆接口，多个变量接口就OK吗？
http://w.eydata.net/f4538cb5529874b779 59409B
http://w.eydata.net/950ae70624c4ee3d31 5942B2
http://w.eydata.net/4b112e197e251b91b3 5AA064

以及
http://w.eydata.net/1e5f468f0b2941e1ca 594015
http://w.eydata.net/ca601f77b87aa81410 594053

这几个链接是起什么作用的呢？难道软件作者开启了这么多验证接口吗？

附上正版账号：lyrong 密码：lyrong 别干坏事哦，大家都不容易！

易游的，山寨，你直接抓包，点登录按钮看版本号和登录接口，剩下的找充值和注册，换算一下，用XH1.2.8来打补丁，其他版本的好像打不进去。

苏梵520 发表于 2018-5-16 17:23
易游的，山寨，你直接抓包，点登录按钮看版本号和登录接口，剩下的找充值和注册，换算一下，用XH1.2.8来打 ...

谢谢提醒 XH我用的是1.3.2版本的 难怪 还有 我找到了可以的字符串 好像版本号有version=9.9 但是登陆显示当前版本3.3 还有eax返回可疑的类似版本号的7.7

这款软件数据挺多的，也不能直接搜索明文字符串 您能抽空帮忙分析下吗 谢谢了

目前不会看版本号 登陆接口应该就是抓包的第一个地址吧

我图片中抓取到的URL 仅仅登陆按钮按下后 就有那么多的地址 所以不知道哪些是重要的

哪些是返回的变量数据的 希望大大能帮忙指明下 谢谢

3某 发表于 2018-5-16 18:14
这里下段WinHttpOpenRequest你要的东西全部就出来了

谢谢大神，这个断点一定要联网的情况下才能拦截吗 和bp send在用法上有什么区别

3某 发表于 2018-5-16 20:10
我说的那个是后台验证的接口连接，你说的这个是发送封包，区别不言而喻了把，能给分了吗大哥哥

首先谢谢你 我还是有些困惑 也回复了帖子 还等待恒大审核 如果能加分 我会给你加分的
比如我发的那些图片
封包URL中仅仅登陆一项就出现了很多链接
我不知道具体有什么用 除了登陆、版本、过期时间的接口 还有些URL指代什么？
是不是还有其他校验接口

3某 发表于 2018-5-16 20:30
[quote][url=forum.php?mod=redirect

没下软件所以看不到具体情况，只有登陆一项出来这么多链接的话。应该 ...

哦 我想请教学弟一个问题 WinHttpOpenRequest是易游固有的函数 还是任意网络验证 都可以用WinHttpOpenRequest

这个WinHttpOpenRequest是如何获取到的呢？能简单说明下吗？