|
本站严厉禁止求脱求破行为(包含无自我分析直接求思路),如发现此类求助主题请点击“举报”,让我们共同维护优质的学习环境!
100HB
本帖最后由 zhangsanfeng 于 2018-11-4 14:08 编辑
特地充值了Hb来求悬赏,希望大神们帮助答疑解惑。
https://pan.baidu.com/s/1daUxu3k6dEBCEwWNTHNnzw
这是软件下载地址,某游戏FZ,E盾加密。
查壳后是UPX,脱壳机就脱了,这里就不上图了。
E盾的思路。
找登陆,查中文字符串,发现并没有可用的字符串诸如“卡密错误”没填入卡密怎么登陆“之类的提示。
或者EB1056等特征字符串
如下图
虽有多少天后到期,登陆成功等,分析后发现并不靠谱,或者个人分析错误。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
遂改变思路,换查找特征码
sub esp,144
结果是无。。。
其余特征码不再一一表述。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
再改变思路
找登陆
mov dword ptr ss:[ebp-0x4],0x0
mov dword ptr ss:[ebp-0x8],0x0
mov dword ptr ss:[ebp-0xC],0x0
mov dword ptr ss:[ebp-0x10],0x0
mov dword ptr ss:[ebp-0x14],0x0
mov dword ptr ss:[ebp-0x18],0x0
mov dword ptr ss:[ebp-0x1C],0x0
mov dword ptr ss:[ebp-0x20],0x0
mov dword ptr ss:[ebp-0x24],0x0
push 0x20
命中后筛选出一处
。
改
mov eax,0x1
00402756 C2 1800 retn 0x18
这里奇怪的地方是我找不到段尾,通过转到下个函数过程看上面,整好是retn 0x18
遂改之。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
mov dword ptr ss:[ebp-0x4],0x0
mov dword ptr ss:[ebp-0x8],0x0
mov dword ptr ss:[ebp-0xC],0x0
mov dword ptr ss:[ebp-0x10],0x0
mov dword ptr ss:[ebp-0x14],0x0
mov dword ptr ss:[ebp-0x18],0x0
push 0x8
命中筛选出一处
同样
mov eax,0x0 (这里也尝试过将eax赋值再空代码处编辑的999999)
00412F4A 8BEC mov ebp,esp
00412F4C 5D pop ebp
00412F4D C3 retn(这里同样找不到段尾,如上通过转到下个函数过程看上面,是retn 0x4,因此retn和retn 4都尝试过)
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
完成后保存,一会儿软件自动退出。
通过火绒剑查看软件行为,发现send后因为未受到服务器反馈消息,自动退出(该软件服务器已挂)。怀疑前面的登陆和合法都找错了。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
再换思路动态调试。
F9运行,直接已终止。
关于检测OD,特征码和字符串都无相关提示。
SUB,ESP,44
SUB,ESP,68
虽然能搜到,明显也不正确。
换冷小黑E盾过检测。OD直接不能正常载入该软件。
上虚拟机运行XP,软件能正常载入,F9直接卡死。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
至此所有思路都尝试过了,下时钟断点能断下,分析不出来。
特地充值HB寻求帮助,主要是思路。感谢大家了
|
|