VMP+未知网络验证易语言FZ求逆向

yideisiwa · 发表于 2020-3-1 01:28

本帖最后由 yideisiwa 于 2020-3-1 01:32 编辑

最近被疫情关了，重拾游戏，发现没FZ玩起来太累，开始进入逆向这个世界。萌新一个，看了一些帖子，感觉吾爱汇编贴吧大佬们都很亲切，遂充值求指导。
查壳是VMP 3.3.1，这个游戏的脚本一般都是用大漠插件，应该是易语言写的。软件在这里：https://www.lanzouw.com/i9qbvda
哈勃查毒地址如下：https://habo.qq.com/file/showdetail?pk=ADcGZF1qB2MIPls9U2A%3D

利用过FF25追易语言特征，发现了易语言很多jmp的特征，我尝试了一些方法。

1.push大法+按钮：

(1)查找push 0x10001追push的窗口，找到所有push的窗口。尝试了push大法直接修改第一个push的窗口为真正界面，失败，提示窗口未加载或者需要序列号。

(2)搜索易语言按钮事件。先转到0400010，根据易语言按钮事件特征码“FF 55 FC 5F 5E”搜索，未找到，是不是被VM了？

根据白嫖怪大大的一个回复：易语言是调用MFC实现的，搜索MFC特征码-“FF 55 14 EB 7F FF 75 0C”，下断点，点击按钮触发按钮事件，F7跟进去，之后跟到按钮点击事件程序入口：006B4280。之后就不知道怎么跟到具体对应的按钮事件了(感觉是VMP的一堆垃圾代码)。

2.堆栈法：

登录弹出错误提示框，暂停，查调用栈，找到第一个用户代码调用，回溯。打断点，回溯，查堆栈，跳转到返回点，打断点，重新执行。然后回溯的多了就懵逼了……

3. 网络验证：

不知道怎么判断FZ用的什么网络验证，所以不知道具体应用哪种山寨，大佬们都是怎么知道的？用抓包软件捕捉到的都是乱码，大大们都是怎么解码的呢？

代码载入直接搜字符串，可以看到一些字符串和code码的对应关系，不知道是不是自己搭建的服务器进行应答判断，PS：会拉黑IP。

4. 利用字符串比较特征码：8B 54 24 04 8B 4C24 08 85 D2 75 0D 33 C0 85 C9 74 06 80 39 00 74 01 48 C3 85 C9 75 09 33 C0

上述特征码是易语言比较字符串用的。当我输入账号密码时，在该处下断点，发现当字符串相同时，返回0，字符串不同时，返回1。尝试修改EAX=0，最后程序无响应了。

以上是我个人的一些尝试，感谢大大的阅读，希望得到大大的指正。大大们直接给出自己的解决方法也好，最好能说清楚具体步骤指导一下我这个萌新。谢谢！！！

米开朗琪罗 · 发表于 2020-3-1 02:31

E盾带VMP授权

萌萌的小短腿 · 发表于 2020-3-1 09:50

知道自己是萌新为啥要搞带VMP壳的呢

yideisiwa · 发表于 2020-3-1 11:17

萌萌的小短腿发表于 2020-3-1 09:50
知道自己是萌新为啥要搞带VMP壳的呢

逆向这个能用，算是一个目标动力吧，大大有什么建议吗？

yideisiwa · 发表于 2020-3-1 12:01

米开朗琪罗发表于 2020-3-1 02:31
E盾带VMP授权

怎么看出来的，不知道判断使用了什么盾的方法。

萌萌的小短腿 · 发表于 2020-3-1 13:07

yideisiwa 发表于 2020-3-1 11:17
逆向这个能用，算是一个目标动力吧，大大有什么建议吗？

基础没打牢，就想学飞，我告诉你咋破，你都看不懂

yideisiwa · 发表于 2020-3-1 18:31

萌萌的小短腿发表于 2020-3-1 13:07
基础没打牢，就想学飞，我告诉你咋破，你都看不懂

大概用什么方法，我试试搜搜论坛类似的教程录像可以吗

ladybe · 发表于 2020-3-2 14:31

现在的软件对新手不太友好尽量找一些无壳无VMP的软件来练手吧
都VM了你还想着回溯 ...

路小兔 · 发表于 2020-3-3 15:40

提示: 作者被禁止或删除内容自动屏蔽

wj12138 · 发表于 2020-3-4 16:52

楼主，我也卡住了。解决了的话请传授一波，感谢

		自动登录	找回密码
密码			立即注册

路小兔当前离线窥视卡雷达卡头像被屏蔽	路小兔发表于 2020-3-3 15:40 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
路小兔当前离线窥视卡雷达卡头像被屏蔽	吾爱汇编论坛-学破解，防破解！知进攻，懂防守！逆向分析，软件安全！52HB.COM