X盾
X盾客户端就是这样,不过因为不知道怎么搭本地服务器,所以只能这样了。
拖进OD里面,会被检测到非法工具,看源码。
窗口创建完毕以后,先读配置项,如果没有就不读,然后就检测OD。所以这里要在运行前把这个检测OD干掉
这里可以下按钮事件,也可以搜字符串,检测OD下面有个127.0.0.1的字符串,搜索这个定位特征
进来以后,把上面的call都下断,逐个分析
在这个call下断,跟进去,根据源码分析
只要a等于0就好了
检测OD搞好以后,接下来就是合法性了。
合法性是对输入进来的帐号密码进行判断,所以先下按钮事件
点击以后,根据源码分析,因为我没有搭本地服务器,所以不能和服务器通信,一运行就与服务器通信失败,所以这里只能用特征码,直接定位
跳转到这里后,在头部下断,F8跟出去
走到这里,就按照下面修改,就可以了。
只能这样弹一个空白框。
E盾实战
这是一个关于dxf的辅助软件,首先查壳,无壳。
将软件拖入OD,检测非法工具,根据刚才的经验,搜索这个字符串
往上拉,看见一个IP地址,这和刚才逆向本地的时候那个127.0.0.1很相似,就从这个ip这里进去
进去以后,也是逐个call分析,但是因为有前面的经验,可以一步看出那个是检测CALL。在哪里下断,跟进去
源码那里也写明白了,只要a=0就可以了
再次运行,软件可以正常打开了,现在开始处理合法性
下按键事件,然后输入帐号密码点击登录,跟进来,源码写的很明白,当经过三个配置项,就是合法了(只要开发者没更改过,基本都这样)
根据前面经验,在合法处的那个call下断,运行让他停到这,不过很尴尬,这软件的服务器也关了,也搞不来。不过问题不大。
这个call是合法call,为什么了,因为这里几个call都进去看过了,只有这里符合合法的特征
网上流传的处理合法sub esp,0x10就是这么来的
在头部retn就可以了
诶,很尴尬,几个都不能连接服务器
易x山寨
先来看下源码,单点击登录按钮,会先弹出退出登录的接口,然后在出现用户登录的接口。顺序知道了,那就托入od实干把
先在这里注册一个自己的号,方便待会山寨用,先把模板源码中要用到的API修改为自己的
注册一个账号
注册后,在观察源码,就是会有程序剩余时间的API
因为是联网的,点击按钮也和网络发送数据包,一开始下send断点发现断不下来,后面琢磨着,这个Api:HttpOpenRequestA可以断下来
随便输入帐号密码点击登录
程序会断下来,然后右下角堆栈窗口会有一个API接口
替换自己的API接口
修改后,F9运行,出现新的API接口,刚才分析源码得知,这次这个是登录的接口
修改了登录的接口后,此时等一会就会在此断下,出现新的接口,刚才注册时候也知道了,这次这个是获取用户的到期时间的接口
修改后,运行,完成。
天X网络验证
未完待续。
