查看: 939|回复: 2

分享一键易游验证爆破+提取源程序过程

[复制链接]
发表于 2020-10-30 21:33 | 显示全部楼层 |阅读模式
非法程序、 2020-10-30 21:33 939 2 显示全部楼层
分享一键易游验证爆破+提取源程序过程,这个一键不知道出自谁手,反正怪恶心的,套了一层感染,还开了vmp的检测虚拟机

但是这些都是小问题

正常打开查壳 不知道是这个憨憨作者是故意的 还是自己电脑中了感染,反正程序有感染 让我不好调试 直接pe 一键脱出来


194754wu2zwutawuzvke8t.png


然后检测到虚拟机了,这都是小问题,我自己弄了一个过vmp3.0以上检测的虚拟机环境

看到字串 都是易游的接口  哎呀 老熟人了

195139fznpmhnpohh50eqh.png

直接走爆破模式  

195315i7z6ttjw81y152yq.png

根据版本号 进入 找到俩处jnz 大跳转 直接nop 掉
最初 我以为就直接玩了 就可以进去了 事实是  直接闪退

然后在根据post 字串 进去补时间

195909rcc000qi07qcahaa.png

这里会有人问 这是怎么弄的?为什么这么写?

ctrl+b 搜索 0 搜索越多越好 0 目的就是搜索程序的空白地址 在空白地址 写东西 好调用

200032bt23w9v7v2bv2vvv.png

200214kjjddhwqac0bswq2.png

然后写入时间 直接补时间码 就是了
我以为就结束了 ,直接运行 然而 发现一奇怪的迹象

200437nnurbvwph8wawazh.png

程序已经打开,但是od 却结束了调试
按理 不是应该挂载进程 可以继续做下一步的调试么 ?
于是在看字串的时候 发现有个exe 的释放 而且 在exe释放 有个时间的在次校验 !如果失败将会退出

200704ppptjcjhazdjldly.png

既然的单纯易游破解已经莫得意思 还不如 在继续玩玩 提取源程序出来呢

然后 我们重新运行一下 继续补好码 在该exe处 下个断点 !

201704f1a5cvhi9na5z0lh.png

发现断下来了 我们单步下去!

这个时候 我发现call 在获取选择目录

201825hk868n8njz7g2d6y.png

因为知道这里 要释放文件 在加上目录都出来了 我直接打开文档 等待这个程序的释放!

202145rlqle3z53q3795da.png

文件释放出来了,右键复制保存 一份 直接关闭od  
后面就不用分析了 无非就是运行 强删  老套路了 市场的一键 基本都是这种套路,当然选择这些 还不如小黑大佬 的黑盾云 验证好用  便宜又耐C(
然后我们直接打开运行

202817hqk7ittlki7pif7l.png

完美 因为有感染 我本机不敢运行 就当练手玩玩吧!

有搞不懂程序的直接私信发软件蓝奏云地址 就可以了

原程序练手下载:  

https://www.lanzoux.com/idwTChgbvmh
发表于 2020-10-31 11:59 | 显示全部楼层
mhgmh 2020-10-31 11:59 显示全部楼层
感谢楼主,好人一生平安
回复

使用道具 举报

发表于 2020-10-31 12:43 | 显示全部楼层
1535870296 2020-10-31 12:43 显示全部楼层
感谢楼主,好人一生平安
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则 返回列表 发新帖

快速回复 返回顶部 返回列表