新手破解带网络考证的程序[菜鸟入门]
本文“新手破解带网络考证的程序[菜鸟入门]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
作者:juckerpp
文件夹内有几个文件,辨别是main.dat,start.exe
OD加载start.exe,退出,弹出软件窗口,OD下断CreateProcess,发现其翻开的是main.dat,用UE查看main.dat, 本来是个可履行文件被改名了,于是改名为main.exe.
PE查壳 ASPack 2.12 -> Alexey Solodovnikov
直接cooldumper搞定
开始解析
点击登录,呈现MessageboxW,未注册用户,窃喜,bp MessageBoxW.
果断断住,看仓库调用情形
0013F550 0065A066 /CALL 到 MessageBoxW
0013F554 007802CC |hOwner = 007802CC ('三国哈哈 1.17',class='TLoginForm',parent=018803B2)
0013F558 00C6F33C |Text = "?,B4,"",D7,"",A2,"",B2,"嵊?,BB,"?
0013F55C 00C76544 |Title = ""D7,"",A2,"意"
0013F560 00000000 \Style = MB_OK|MB_APPLMODAL
0013F564 0013F93C 指向下一个 SEH 记录的指针
0013F568 00546D1F SE处理程序
0013F56C 0013F5F8
0013F570 0013F798
0013F574 0044E700 dumped_.0044E700
0013F578 00BC67C0 ASCII "pkD"
0013F57C 00000000
0013F580 00000000
0013F584 00000000
0013F588 00000000
0013F58C 00000000
0013F590 00000000
0013F594 00000000
0013F598 00000000
0013F59C 00000000
0013F5A0 00C6F33C ASCII "*g鑜孮(u7b"
0013F5A4 00C76544
0013F5A8 00000000
0013F5AC 00000000
0013F5B0 00C8AA7C UNICODE "d00b-207dcdd2"
0013F5B4 00C8AA1C UNICODE "D00B-207DCDD2"
0013F5B8 00C8AA4C UNICODE "d00b-207dcdd2"
0013F5BC 00C8EC14 UNICODE "D:\sg117\script\"
0013F5C0 00000000
0013F5C4 00000000
0013F5C8 00000000
0013F5CC 00000000
0013F5D0 00CA581C UNICODE "D:\sg117\upup.exe"
0013F5D4 00000000
0013F5D8 00CA57E4 UNICODE "D:\sg117\start.exe"
0013F5DC 00C8EC14 UNICODE "D:\sg117\script\"
0013F5E0 00000000
0013F5E4 00CA5774 UNICODE "D:\sg117\updata.exe"
0013F5E8 00000000
0013F5EC 00000000
0013F5F0 00C8A9EC UNICODE "D00B-207DCDD2"
看到最背面几行有D00b什么的,是软件上提醒的机械码.其他没什么营养,先放住不管.
大概我才疏学浅,认为这种外挂一定是网络考证的,所以也没去深究这个D00B什么的,既然MessageBox没看出什么端倪,换办法.
bp send, bp recv全部打好断点
点击登录.断下在bp send ,看发包data,是明文,以下
0013F2A8 |00C214F8 ASCII "GET Http://60.190.222.188:8000/wglogin/wglogin.asp?id=9D1669ADA23091A6F454E45991E4EB2258E2B2DF5B591B9EA8330EFCB1E3BCF8E6CA50C8AA1E6B98F7A78CB1449ADBF6DC2C2DECE8F09C85&port=8020 HTTP/1.1",CR,LF,"Host: 60.190.222.188",CR,LF,"Connection: Ke"...
好长的一段串啊,不管它查下仓库很简单发现它的组包历程.
几个Unicode串摆在仓库里面,是由之前的D00B-207DCDD2+我硬盘号+我MAC地址+一个时间数,然后看长度仿佛将这些参数组合举行了一 次SHA运算,得出的这个串.当然这只是猜想,我认为没必要去跟组包的算法.毕竟网络考证都是通过回包的信息举行各种跳,各种逻辑的.
直接F9跑到recv这里看看,收包明文,以下
0013F274 |0110A048 ASCII "HTTP/1.1 200 OK",CR,LF,"Connection: keep-alive",CR,LF,"Content-Type: text/html",CR,LF,"Content-Length: 20",CR,LF,"Server: Indy/9.00.10",CR,LF,CR,LF,"REG:AAEDGWE29AB8C"
恩服务器回来的包很短REG:AAEDGWE29AB8C
解析一下发包的包值吧,每次发包相同值都是9D1669ADA23091A6F454E45991E4EB2258E2B2DF5B591B
差别点的地方在于背面,假如我每次把差别的值记录下来,发一样的,服务器能否会给我回一样的包呢,测试一下.
利用一次截获的包举行测试F7A78CB1449ADBF6DC2C2DECE8F09C85
013F2A8 |00C214F8 ASCII "GET Http://60.190.222.188:8000/wglogin/wglogin.asp?id=9D1669ADA23091A6F454E45991E4EB2258E2B2DF5B591B9EA8330EFCB1E3BCF8E6CA50C8AA1E6B98F7A78CB1449ADBF6DC2C2DECE8F09C85&port=8020
以上是“新手破解带网络考证的程序[菜鸟入门]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |
- ·上一篇文章:完好揭密免杀技术
- ·下一篇文章:巧用标签晋升SEO排名
- ·中查找“新手破解带网络考证的程序”更多相关内容
- ·中查找“新手破解带网络考证的程序”更多相关内容