新手破解带网络考证的程序[菜鸟入门]

作者:juckerpp
文件夹内有几个文件,辨别是main.dat,start.exe

OD加载start.exe,退出,弹出软件窗口,OD下断CreateProcess,发现其翻开的是main.dat,用UE查看main.dat, 本来是个可履行文件被改名了,于是改名为main.exe.

PE查壳 ASPack 2.12 -> Alexey Solodovnikov
直接cooldumper搞定

开始解析
点击登录,呈现MessageboxW,未注册用户,窃喜,bp MessageBoxW.
果断断住,看仓库调用情形

0013F550   0065A066  /CALL 到 MessageBoxW
0013F554   007802CC  |hOwner = 007802CC ('三国哈哈 1.17',class='TLoginForm',parent=018803B2)
0013F558   00C6F33C  |Text = "?,B4,"",D7,"",A2,"",B2,"嵊?,BB,"?
0013F55C   00C76544  |Title = ""D7,"",A2,"意"
0013F560   00000000  \Style = MB_OK|MB_APPLMODAL
0013F564   0013F93C  指向下一个 SEH 记录的指针
0013F568   00546D1F  SE处理程序
0013F56C   0013F5F8
0013F570   0013F798
0013F574   0044E700  dumped_.0044E700
0013F578   00BC67C0  ASCII "pkD"
0013F57C   00000000
0013F580   00000000
0013F584   00000000
0013F588   00000000
0013F58C   00000000
0013F590   00000000
0013F594   00000000
0013F598   00000000
0013F59C   00000000
0013F5A0   00C6F33C  ASCII "*g鑜孮(u7b"
0013F5A4   00C76544
0013F5A8   00000000
0013F5AC   00000000
0013F5B0   00C8AA7C  UNICODE "d00b-207dcdd2"
0013F5B4   00C8AA1C  UNICODE "D00B-207DCDD2"
0013F5B8   00C8AA4C  UNICODE "d00b-207dcdd2"
0013F5BC   00C8EC14  UNICODE "D:\sg117\script\"
0013F5C0   00000000
0013F5C4   00000000
0013F5C8   00000000
0013F5CC   00000000
0013F5D0   00CA581C  UNICODE "D:\sg117\upup.exe"
0013F5D4   00000000
0013F5D8   00CA57E4  UNICODE "D:\sg117\start.exe"
0013F5DC   00C8EC14  UNICODE "D:\sg117\script\"
0013F5E0   00000000
0013F5E4   00CA5774  UNICODE "D:\sg117\updata.exe"
0013F5E8   00000000
0013F5EC   00000000
0013F5F0   00C8A9EC  UNICODE "D00B-207DCDD2"

看到最背面几行有D00b什么的,是软件上提醒的机械码.其他没什么营养,先放住不管.
大概我才疏学浅,认为这种外挂一定是网络考证的,所以也没去深究这个D00B什么的,既然MessageBox没看出什么端倪,换办法.

bp send, bp recv全部打好断点

点击登录.断下在bp send ,看发包data,是明文,以下
0013F2A8  |00C214F8  ASCII "GET Http://60.190.222.188:8000/wglogin/wglogin.asp?id=9D1669ADA23091A6F454E45991E4EB2258E2B2DF5B591B9EA8330EFCB1E3BCF8E6CA50C8AA1E6B98F7A78CB1449ADBF6DC2C2DECE8F09C85&port=8020 HTTP/1.1",CR,LF,"Host: 60.190.222.188",CR,LF,"Connection: Ke"...

好长的一段串啊,不管它查下仓库很简单发现它的组包历程.
几个Unicode串摆在仓库里面,是由之前的D00B-207DCDD2+我硬盘号+我MAC地址+一个时间数,然后看长度仿佛将这些参数组合举行了一 次SHA运算,得出的这个串.当然这只是猜想,我认为没必要去跟组包的算法.毕竟网络考证都是通过回包的信息举行各种跳,各种逻辑的.

直接F9跑到recv这里看看,收包明文,以下

0013F274  |0110A048  ASCII "HTTP/1.1 200 OK",CR,LF,"Connection: keep-alive",CR,LF,"Content-Type: text/html",CR,LF,"Content-Length: 20",CR,LF,"Server: Indy/9.00.10",CR,LF,CR,LF,"REG:AAEDGWE29AB8C"

恩服务器回来的包很短REG:AAEDGWE29AB8C

解析一下发包的包值吧,每次发包相同值都是9D1669ADA23091A6F454E45991E4EB2258E2B2DF5B591B
差别点的地方在于背面,假如我每次把差别的值记录下来,发一样的,服务器能否会给我回一样的包呢,测试一下.

利用一次截获的包举行测试F7A78CB1449ADBF6DC2C2DECE8F09C85

013F2A8  |00C214F8  ASCII "GET Http://60.190.222.188:8000/wglogin/wglogin.asp?id=9D1669ADA23091A6F454E45991E4EB2258E2B2DF5B591B9EA8330EFCB1E3BCF8E6CA50C8AA1E6B98F7A78CB1449ADBF6DC2C2DECE8F09C85&port=8020

[1] [2]  下一页