全VM的易游如何找变量数据

3某 发表于 2018-5-16 21:43
[quote][url=forum.php?mod=redirect

只能ey记住就行了，你下段了看堆栈就知道了，自己多动手就清楚了

刚在win7 x64系统下 下bp WinHttpOpenRequest 断点 提示未知标示符 不知道是不是因为被VM掉了

苏梵520 发表于 2018-5-16 17:23
易游的，山寨，你直接抓包，点登录按钮看版本号和登录接口，剩下的找充值和注册，换算一下，用XH1.2.8来打 ...

我点击登录 截包 出现那么多的URL 不知道具体指的是什么 因为数据窗口中跟随 并没明文显示 都是加密了的字符

还有，对于这种全VM 搜索字符串搜索不到 API又被VM了的 怎么找数据呢？

希望大大在线后，能帮忙解答下，万分感谢！

可惜就是HB太少了

易游web验证都要调用下面这个函数
返回值 ＝ 调用接口 (调用地址, 到字节集 (调用参数))
而这个函数的最后返回都是下面这个
返回 (到文本 (编码转换 (局_页面内容, #编码_UTF_8, #编码_GB2312, )))
可以找到到文本或这编码转换的特征码段尾下断

编码转换：53 56 8B 74 24 14 57 6A 00
到文本：83 EC 64 53 56 57 8B 7C 24 7C

先在编码转换下断，再在到文本下断，在到文本这里返回后直接可以在寄存器可以看到最后的返回文本
要逆向某一个网络验证，首先要对源码进行分析，找到共同点特征，对症下药。先从源码找到我们需要的东西，要把源码当作是一个被VM的，寻找突破口。

首先，登录会出现多个接口的原因其实很容易解释，
1.退出登录
2机器码解绑或IP解绑
3.登录
4.到期时间
5.比如获取变量啊，公告啊等等的，自己抓包过后区易游后台对照接口参数就知道了，
我自己用易游的时候就是这样的！
1.退出登录
2机器码解绑或IP解绑
3.登录
4.到期时间

yang799061658 发表于 2018-5-17 01:53
首先，登录会出现多个接口的原因其实很容易解释，
1.退出登录
2机器码解绑或IP解绑

谢谢 理解了

sxdx1372 发表于 2018-5-16 23:28
易游web验证都要调用下面这个函数
返回值 ＝ 调用接口 (调用地址, 到字节集 (调用参数))
而这个函数的最 ...

谢谢提供这种思路，但是我发现官网下载的版本是《注册码模版 v1.0.2.5》并没带变量数据的源码
难道非要自己写吗？

lyrong 发表于 2018-5-17 18:59
谢谢提供这种思路，但是我发现官网下载的版本是《注册码模版 v1.0.2.5》并没带变量数据的源码
难道非要 ...

那你找一个有的

.版本 2

.局部变量 返回值, 文本型
.局部变量 调用地址, 文本型
.局部变量 调用参数, 文本型
.局部变量 密钥一, 文本型
.局部变量 密钥二, 文本型


' GetVariable | 获取变量数据
调用地址 ＝ 线路 ＋ “.eydata.net/c613a893b05a39b4”  ' 这里改成自己的地址

调用参数 ＝ “StatusCode=” ＋ 状态码 ＋ “&UserName=” ＋ 用户名 ＋ “&VariableId=3652&VariableName=key”  ' 这里改成自己的参数

返回值 ＝ 调用接口 (调用地址, 到字节集 (调用参数))

红色字体改成自己的变量编号和别名