定时网络校验该如何入手-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (14)
houqp 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	houqp 2 楼用wireshark抓校验的数据包，然后在内存里搜索校验内容，如果每次处理校验内容的内存不变的话就对这段内存下访问断点。 2012-1-2 12:27 0
qvchat 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	qvchat 3 楼校验的内容是每次都在变的 2012-1-2 13:30 0
qvchat 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	qvchat 4 楼刚试了下，校验包的内存是变的 2012-1-2 13:54 0
李晓岚雪币： 2676 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 95 粉丝 0 关注私信	李晓岚 5 楼断settimer定时器。 2012-1-2 14:52 0
qvchat 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	qvchat 6 楼验证部分是在DLL里的，我看了没settimer，可能敏感函数都做了相应处理，不过还是感谢楼上的回答 2012-1-2 15:55 0
qvchat 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	qvchat 7 楼请好心的兄弟再给点思路 2012-1-2 22:22 0
李晓岚雪币： 2676 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 95 粉丝 0 关注私信	李晓岚 8 楼那就断socket函数吧。 2012-1-2 23:10 0
jiangjing 雪币： 244 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 110 粉丝 0 关注私信	jiangjing 1 9 楼找退出函数,下断点,PostMessage,SendMessage,ExitProcess 2012-1-2 23:26 0
qvchat 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	qvchat 10 楼 ExitProcess这个断无效，也不知道怎么搞的，不知道是不是退出函数也处理了，现在真是恰似一江春水向东流 2012-1-3 00:12 0
qvchat 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	qvchat 11 楼还有高手有独特思路的吗，请给与指点，谢谢了，唉，等两天了也没解决 2012-1-4 20:03 0
xmige 雪币： 32 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	xmige 12 楼我也觉得抓包分析协议,然后找到处理改协议的地方下断,这个思路比较正确.如果是对退出进程下断,下到了可能也不是你要的那个地方.人家可能采用异常处理的方式来改变运行过程. 对于协议处理,可以先试图猜测出协议id是啥,然后再去找对这个数字的处理.一般就是一个立即数 2012-1-5 09:18 0
qvchat 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	qvchat 13 楼我对算法不是很懂，抓了包看了下，每次都是先发送软件的帐号（这个每次都不变），服务器返回一串字符串，封包数据里只有3个字节是每次返回的都不一样，软件会用得到的这个变化的数据进行计算发送到服务器上，服务器再返回一个验证封包 2012-1-5 12:36 0
laohai 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 284 粉丝 0 关注私信	laohai 14 楼退出后看一下堆栈 2012-1-6 07:28 0
qvchat 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	qvchat 15 楼堆栈里啥也没有，应该是TMD加壳，把相应的调用的API都VM了 2012-1-6 13:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (14)
houqp 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	houqp 2 楼用wireshark抓校验的数据包，然后在内存里搜索校验内容，如果每次处理校验内容的内存不变的话就对这段内存下访问断点。 2012-1-2 12:27 0
qvchat 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	qvchat 3 楼校验的内容是每次都在变的 2012-1-2 13:30 0
qvchat 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	qvchat 4 楼刚试了下，校验包的内存是变的 2012-1-2 13:54 0
李晓岚雪币： 2676 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 95 粉丝 0 关注私信	李晓岚 5 楼断settimer定时器。 2012-1-2 14:52 0
qvchat 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	qvchat 6 楼验证部分是在DLL里的，我看了没settimer，可能敏感函数都做了相应处理，不过还是感谢楼上的回答 2012-1-2 15:55 0
qvchat 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	qvchat 7 楼请好心的兄弟再给点思路 2012-1-2 22:22 0
李晓岚雪币： 2676 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 95 粉丝 0 关注私信	李晓岚 8 楼那就断socket函数吧。 2012-1-2 23:10 0
jiangjing 雪币： 244 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 110 粉丝 0 关注私信	jiangjing 1 9 楼找退出函数,下断点,PostMessage,SendMessage,ExitProcess 2012-1-2 23:26 0
qvchat 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	qvchat 10 楼 ExitProcess这个断无效，也不知道怎么搞的，不知道是不是退出函数也处理了，现在真是恰似一江春水向东流 2012-1-3 00:12 0
qvchat 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	qvchat 11 楼还有高手有独特思路的吗，请给与指点，谢谢了，唉，等两天了也没解决 2012-1-4 20:03 0
xmige 雪币： 32 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	xmige 12 楼我也觉得抓包分析协议,然后找到处理改协议的地方下断,这个思路比较正确.如果是对退出进程下断,下到了可能也不是你要的那个地方.人家可能采用异常处理的方式来改变运行过程. 对于协议处理,可以先试图猜测出协议id是啥,然后再去找对这个数字的处理.一般就是一个立即数 2012-1-5 09:18 0
qvchat 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	qvchat 13 楼我对算法不是很懂，抓了包看了下，每次都是先发送软件的帐号（这个每次都不变），服务器返回一串字符串，封包数据里只有3个字节是每次返回的都不一样，软件会用得到的这个变化的数据进行计算发送到服务器上，服务器再返回一个验证封包 2012-1-5 12:36 0
laohai 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 284 粉丝 0 关注私信	laohai 14 楼退出后看一下堆栈 2012-1-6 07:28 0
qvchat 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	qvchat 15 楼堆栈里啥也没有，应该是TMD加壳，把相应的调用的API都VM了 2012-1-6 13:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] 定时网络校验该如何入手 0.00雪花