无源码 分析 -》 黑盒分析
飘零 3.2VIP客户端
心跳包 很多 大小为1 的包 防止程序强制关闭
封包内容 大概为:
p=xxxxxxxxxxxxxxxxxxxx
&pzdm=xxxxxxxxxx
&post=xxxxxxxxxxxx
这个大概就是飘零验证了
搜索字符串
···
不能整除与零
不能求余数与零
·····
···
下面的信息没有用 E语言支持库的字符串 没用
要看它上面的字符串
运行 后 搜索 字符串 程序进程结束
加速键 /热键/老板键 检测
下send断点 按F8 (热键)····热键检测
超线程
程序跑起来
线程在多起来 线程开启 又 关闭
用意 检测 有没有调试它
看线程的状态
CreateThread 下断
EIP 往上建立 就可以看到 堆栈显示的标志
返回到 函数过程 暗桩线程
1)NOP掉 函数
2) NOP 代码段的 CreateThread 函数
蓝屏
看一下退出 ExitProcess CC断点 点登陆
搜索 会断下
堆栈窗口 往上推进·········· retrn xxxxxxxxxx
想知道那个CALL 调用了 退出
记录 继续分析 分析到一个CALL 时
查看右上角 OD窗口 可以看到是那个线程
如果手动跳过它退出 会蓝屏
有时候检测到 有时候检测不到
看到 有几个返回地址就可以 找到返回地址
Find references to -> selected command Ctl+R
所有来到这个地址的 过程 下断
重新载入····················
看到你有个CALL被断下
往上跟随
就这样分析·····························································
滴答检测
GetTickCount 操作系统从启动到运行的诗句
让它跑起来再 下断
走到RETN EAX显示的值就是那个时间
时时获取时间,如果偏差不是很大就保存 再比较,再保存
偏差大的直接退出
GetTickCount
retn
就没事了 搜索字符串 和 ctrl+A 都没事了
防止他检测
上面的搞好了之后:
对CreateThread下断
登陆线程 看到系统函数
开了发包的线程(这个应该快点 要不然服务端以为断开连接了)
注册一个账号!!!!!!
登陆 线程是用 CreateRemoteThread 调用
注释比较多的话 可以添加标签
创建了3个线程
调用成功的回调函数就行
提取爆破 “特征码”············································································
3个回调函数
那个成功的回调函数的二进制码 就是特征码
无账号 破解
有账号就可以下断 线程创建······································································
