学破解论坛

 ★找回密码★
 ★免费注册★

QQ登录

绑定QQ,免密登录

查看: 607|回复: 23

全VM的易游如何找变量数据

[复制链接] |关注本帖

  离线 

签到天数: 115

该用户今日未签到

50HB
本帖最后由 lyrong 于 2018-5-16 16:08 编辑

首先,谢谢恒大创建这个论坛,让我们新手有交流和资源分享的平台,这次,我接连两次遇见全VM的软件,第一次是核盾的,反调试,但是感谢论坛的大大,我解决了,这次这个软件,不仅加密了字符串,而且加密了函数,比如GetVarible接口,在程序段搜索字符串,直接是搜索不到的,而且,普通的打补丁比如PYG的内存补丁,是打不上补丁的,不知道大伙是这样的情况不,反正我是等到完全解码后打补丁的。
查毒.PNG


软件的地址先附上吧:
https://pan.baidu.com/s/1ntgifjL26lE-HIZ600Q8mw

关键的难点不是打补丁,我认为是获取数据,而且,小菜的我发现该软件还获取CPU和网卡数据,不知道我的理解对不,在易语言运行库下断,会不停在检测驱动模块和进程列表循环,搜索Process32Next然后段首返回,能跳过循环。

之前被程序的数据返回量吓了一跳,因为自己接触的是不带变量的,下面是封包拦截的URL(仅登陆):

http://w.eydata.net/1e5f468f0b2941e1ca 594015
http://w.eydata.net/ca601f77b87aa81410 594053
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779
http://w.eydata.net/f4538cb5529874b779

http://w.eydata.net/f4538cb5529874b779 59409B
http://w.eydata.net/950ae70624c4ee3d31 5942B2
http://w.eydata.net/4b112e197e251b91b3 5AA064
http://w.eydata.net/3317f58ad46e6dad69 5AA09D


获取到了用户注册和充值改密WEB 链接,但是也只能高兴一小会,因为账号验证全在登陆上,附上我获取到的数据:
密钥:
0C28D4271B91F340C4177F36C0ED07BB

注册:
93a5e1bfa144f38298
登陆:
1e5f468f0b2941e1ca
充值:
b389ffe54d2de879f5
到期:
3317f58ad46e6dad69
变量(不确定,没接触过):
f4538cb5529874b779


下面附上我疑惑不解的几张图:
Snap1.png Snap2.png Snap3.png
Snap4.png Snap5.png Snap6.png


希望大神帮忙解答为什么登陆封包会出现这个多链接?不是一个登陆接口,多个变量接口就OK吗?
http://w.eydata.net/f4538cb5529874b779 59409B
http://w.eydata.net/950ae70624c4ee3d31 5942B2
http://w.eydata.net/4b112e197e251b91b3 5AA064

以及
http://w.eydata.net/1e5f468f0b2941e1ca 594015
http://w.eydata.net/ca601f77b87aa81410 594053

这几个链接是起什么作用的呢?难道软件作者开启了这么多验证接口吗?

附上正版账号:lyrong 密码:lyrong 别干坏事哦,大家都不容易!

最佳答案

查看完整内容

是必须要下09平台,我就没下了,你去解码端ctrl+B搜搜83 EC 64 53 56 57 8B 7C 24 7C段尾下端,这是最后返回的地址,然后按照我说的每一个登陆注册都点一次,都会段下来然后接口就出来了,你可以试试
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!

  离线 

签到天数: 128

今日第234个签到

lyrong 发表于 2018-5-17 22:48
学弟 你是说必须下载百度云管家是吗?很抱歉 我提供蓝奏链接
https://pan.lanzou.com/i11n8fi
备用外链 ...

是必须要下09平台,我就没下了,你去解码端ctrl+B搜搜83 EC 64 53 56 57 8B 7C 24 7C段尾下端,这是最后返回的地址,然后按照我说的每一个登陆注册都点一次,都会段下来然后接口就出来了,你可以试试
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 79

今日第454个签到

易游的,山寨,你直接抓包,点登录按钮看版本号和登录接口,剩下的找充值和注册,换算一下,用XH1.2.8来打补丁,其他版本的好像打不进去。
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 128

今日第234个签到

这里下段WinHttpOpenRequest你要的东西全部就出来了
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 115

该用户今日未签到

苏梵520 发表于 2018-5-16 17:23
易游的,山寨,你直接抓包,点登录按钮看版本号和登录接口,剩下的找充值和注册,换算一下,用XH1.2.8来打 ...

谢谢提醒 XH我用的是1.3.2版本的 难怪 还有 我找到了可以的字符串 好像版本号有version=9.9 但是登陆显示当前版本3.3 还有eax返回可疑的类似版本号的7.7

这款软件数据挺多的,也不能直接搜索明文字符串 您能抽空帮忙分析下吗 谢谢了

目前不会看版本号 登陆接口应该就是抓包的第一个地址吧

我图片中抓取到的URL 仅仅登陆按钮按下后 就有那么多的地址 所以不知道哪些是重要的

哪些是返回的变量数据的 希望大大能帮忙指明下 谢谢
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 115

该用户今日未签到

一万三 发表于 2018-5-16 18:14
这里下段WinHttpOpenRequest你要的东西全部就出来了

谢谢大神,这个断点一定要联网的情况下才能拦截吗 和bp send在用法上有什么区别
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 128

今日第234个签到

lyrong 发表于 2018-5-16 20:03
谢谢大神,这个断点一定要联网的情况下才能拦截吗 和bp send在用法上有什么区别

我说的那个是后台验证的接口连接,你说的这个是发送封包,区别不言而喻了把,能给分了吗大哥哥
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 115

该用户今日未签到

一万三 发表于 2018-5-16 20:10
我说的那个是后台验证的接口连接,你说的这个是发送封包,区别不言而喻了把,能给分了吗大哥哥

首先谢谢你 我还是有些困惑 也回复了帖子 还等待恒大审核 如果能加分 我会给你加分的
比如我发的那些图片
封包URL中仅仅登陆一项就出现了很多链接
我不知道具体有什么用 除了登陆、版本、过期时间的接口 还有些URL指代什么?
是不是还有其他校验接口
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 128

今日第234个签到

[quote][url=forum.php?mod=redirect

没下软件所以看不到具体情况,只有登陆一项出来这么多链接的话。应该是分线路吧
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 115

该用户今日未签到

一万三 发表于 2018-5-16 20:30
[quote][url=forum.php?mod=redirect

没下软件所以看不到具体情况,只有登陆一项出来这么多链接的话。应该 ...

哦 我想请教学弟一个问题 WinHttpOpenRequest是易游固有的函数 还是任意网络验证 都可以用WinHttpOpenRequest

这个WinHttpOpenRequest是如何获取到的呢?能简单说明下吗?
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

免责声明

本站中所有被研究的素材与信息全部来源于互联网,版权争议与本站无关。本站所发布的任何软件的逆向分析文章、逆向分析视频、补丁、注册机和注册信息,仅限用于学习和研究软件安全的目的。全体用户必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。学习逆向分析技术是为了更好的完善软件可能存在的不安全因素,提升软件安全意识。所以您如果喜欢某程序,请购买注册正版软件,获得正版优质服务!不得将上述内容私自传播、销售或者其他任何非法用途!否则,一切后果请用户自负!

站长邮箱:SharkHeng#iCloud.com


站长微信号:SharkHeng|联系Email|鲨鱼逆向|手机版|小黑屋|FAQ|VIP破解教程|学破解论坛 ( 京公网安备 11011502002737号 | 京ICP备14042738号 ) 

GMT+8, 2018-8-20 20:21

快速回复 返回顶部 返回列表