据我调查,这个软件至今,没有在网络上有完美的逆向方法,所以特请各位高手,帮忙分析这个软件的原理,交流技术。
软件下载地址和分析手记,在附件里面。
提示连接失败后,重新测试主站,小心全部超时。
(本地机构校验)
005E4D27 . 85C0 TEST EAX,EAX
005E4D29 . 75 0E JNZ SHORT TdxW.005E4D39
005E4D2B . 50 PUSH EAX
005E4D2C . 50 PUSH EAX
005E4D2D . 6A 10 PUSH 10
005E4D2F . 68 E4A67700 PUSH TdxW.0077A6E4
005E4D34 . E9 88000000 JMP TdxW.005E4DC1
005E4D39 > E8 92E7F1FF CALL TdxW.005034D0 (跟进NOP 0503524)
005E4D3E . 85C0 TEST EAX,EAX
005E41F9 /74 10 JE SHORT TdxW1.005E420B JMP
005E41FB . |6A 00 PUSH 0
005E41FD . |6A 00 PUSH 0
005E41FF . |6A 10 PUSH 10
005E4201 . |68 2CA97700 PUSH TdxW1.0077A92C ; 文件解析出错!
005E4206 . |E9 0E200000 JMP TdxW1.005E6219
005E4276 /75 0E JNZ SHORT TdxW1.005E4286 JMP
005E4278 . |57 PUSH EDI
005E4279 . |57 PUSH EDI
005E427A . |6A 10 PUSH 10
005E427C . |68 00A97700 PUSH TdxW1.0077A900 ; 版本解析出错!
005E4281 . |E9 931F0000 JMP TdxW1.005E6219
005E33BE /74 26 JE SHORT TdxW2.005E33E6 JMP
005E33C0 . |6A 10 PUSH 10
005E33C2 . |68 4CAC7700 PUSH TdxW2.0077AC4C ; 一个目录下只能运行一个本系统!
005E33C7 . |6A 00 PUSH 0
005E33C9 . |E8 7262EBFF CALL TdxW2.00499640
005E33CE . |8B4D D8 MOV ECX,DWORD PTR SS:[EBP-28]
005E33D1 . |83C4 14 ADD ESP,14
005E33D4 . |8975 FC MOV DWORD PTR SS:[EBP-4],ESI
005E33D7 . |C781 C4000000>MOV DWORD PTR DS:[ECX+C4],1
005E33E1 . |E9 442E0000 JMP TdxW2.005E622A
网络验证(这是我分析网络验证的一点资料,仅供参考)
005254D0 /0F84 98000000 JE TdxW3.0052556E ; JMP
005262BB /0F84 08030000 JE TdxW3.005265C9 ; JMP
CALL
本地调用来自 00526766
0052AAE5 /0F85 9F000000 JNZ TdxW3.0052AB8A JMP
0052776A > \8B0D C0A0C700 MOV ECX,DWORD PTR DS:[C7A0C0] ; Case 6F of switch 0052713A
006C7360 /$ 8B4424 04 MOV EAX,DWORD PTR SS:[ESP+4]
004D6120 /EB 57 JMP SHORT TdxW4.004D6179 ; JMP
00526752 /75 10 JNZ SHORT TdxW3.00526764 JMP
00526752 /75 10 JNZ SHORT TdxW3.00526764 NOP
00526754 |39B5 CA220000 CMP DWORD PTR SS:[EBP+22CA],ESI
0052675A |75 08 JNZ SHORT TdxW3.00526764 NOP
0052675C |3935 988DC800 CMP DWORD PTR DS:[C88D98],ESI
00526762 |74 27 JE SHORT TdxW3.0052678B JMP
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
