我是一php程序员也写了几天易语言程序,一逆向新手,很久以前就想吾爱汇编论坛了,看了天草的教程好几遍,每次看了前几集就又放下了 哎哎哎!最近受朋友之拖要逆向一个QT语言堆人气软件的程序跟挂qq一样的。我就说试试吧,有目标学习起来更快。
最开始朋友给了一个版本,是别人逆向后的,逆向的这位兄弟做了个内存补丁,把内存补丁加密了再拿出来卖。我开始就想直接用内存监视他的补丁,我插直接把我系统搞重装了,算了看来是牛人,我新人惹不起,我还是搞源程序吧!源程序一查壳居然没壳,我估计可能是前面那个逆向者脱了壳。载入OD,我插直接不行,百度一下,原来od不太适合.net程序。原来有更好的东西reflector,丢进去一看,居然源码都看到了。不过反编译出来的类名啊,方法名啊 都非常让人蛋疼,全是class1,class2,class3.....method1,method2.....这种形式的,看图
不过还好登陆窗体类,和主窗体类命名完整
然后找到登陆按钮事件
用reflexil插件修改这个判断,保存后还是会弹出未注册提示,继续往下找
把DialogResult结果设成1即可进入主界面
进入主界面后 导入qq 还会弹出 “您的版本只能导入0个”的提示
搜索“您的版本”字符串找到判断语句,和上面一样真改成假
成功实现爆破。
但是貌似程序还有个暗装,因为作者会知道我用软件对哪个QT房间挂了人气,然后作者偶尔会用些qq名字写着“此人用盗版软件”之类的qq到我的qt房间挂着,如果我封了这些号的IP 那么我挂的那些号也被封了IP,证明这个软件下载了服务器上的qq然后用我逆向后的软件登录进我的房间,我插插,一直没找到这个暗装在哪里,主要是反编译后的代码太难看了,再加上没学过c#,不然直接研究他的协议怎么写的了,自己在用易语言写一个算了!
第一个问题希望大牛帮忙找下暗装在哪里?
这个版本的源程序下载地址: http://pan.baidu.com/s/1jGvKhvC 密码: j77f
后面这个软件作者又出了新版本,朋友又搞到了新版本让我破,我以为还是没加壳,结果用reflector打开显示不是.net程序
心想难道是以为.net太容易被破了,作者换语言了。。。。
一查壳,我插居然是vmp壳,对于我这样的新手,看到加这壳就害怕。但是我记得在看雪论坛看到有人说vmp不支持.net程序啊
我自己也用vmp加.net加不了啊。怪了,难道换C++写了。。。。,所以在咱们论坛狂搜vmp相关的教程,脱壳的完全看不懂,带壳
逆向的还能看懂点,于是也试试带壳逆向,哎呀我的妈呀!都运行不起来。。。。通过这点 我断定应该还是C#程序,于是到某逆向去
发了个求助帖,本想在吾爱汇编论坛发,谁知要39HB,注册没几天,没那么多啊!哎哎! 很快有人回复了我用什么方法确实是不是.net程序
试了下 果真还是.net程序。回复我的人说,可以加vmp,但是都是秒脱的还不如不加。这句话给了我点信心。问其如何脱,他说:"脱vmp的方法和脱se(wl,tmd)的方法一样,从内存dump.论坛有相关文章的.然后修复元数据就好了.."。
我晕,我也不会脱se啊。。。后面的那句从内存dump给了我提示,于是我就搜索内存dump相关的东西,我都不知道dump什么意思,四级没过,哎!百度翻译 倾倒;倾卸;丢下,卸下,难道意思就是从内存脱壳的意思 嘿嘿!大神莫笑
学东西还得一步一步来啊,我就想嘲笑自己了 还没学爬就学跑了,但是我还是想试试啊,于是想能不能找个脚本或者脱壳工具试试,vmp对.net本来就支持不好,强度应该不大,于是在在论坛下载各种脚本,其实我也不会用脚本,又搜索了怎么用脚本,还是模棱两可的试了试,无果!想放弃了!
最后我想试试恒大的工具包里面的脱壳工具,看到有个DotnetDumper,有个net关键字 肯定专搞.net的,试试,一个dumps的文件夹,里面有3个和源程序一样的家伙。
貌似有希望,运行一下,没反应。有点失望了。查壳居然脱掉vmp了,难道要修复之类的,不会啊
用reflect载入试试,还是报错,但是和之前报错不一样了
于是百度“reflector 索引超出数组界限”,有相同的问题,有人回帖说"请出大神de4dot" 这个东西早有耳闻,赶紧下载试试
不试不知道一试吓一跳,用了后的效果
可以看到源码了。但是反编译出来的类的名字更加牛逼了,方法名也是这样式的,我晕晕,要把这个看懂了那我也成神了
前面那个版本至少耐心研究还是可以搞懂,这个完全头晕,连登陆窗口类和主窗口类都找不到事哪个
但是根据前面那个版本搜索相同的字符串还是能找到要爆破的地方。
登陆我已经爆破,进入主界面,爆破导入qq限制,但是貌似不能登录qt,一直显示连接服务器,应该是作者又加了暗装(要把逆向后的主程序复制到源程序目录才能导入qq,界面才能显示完整)
这样的类名和方法名让我如何去分析他在哪里加了暗装啊!逆向之路怎么这么曲折啊,没办法来求各位大神了
第二个问题,是不是我的方法不对导致反编译出来的类名和方法名如此犀利?有什么方法能让他正常点吗?
第三个问题,希望能给出找出暗装的方法!
新版软件地址:http://pan.baidu.com/s/1kT7Tu2F 提取密码6g44
小弟初入逆向,还在加紧学习中,忘各位大大帮帮忙,哎好不容易拿到39HB 只有这么点了 感激各位
|