首页
社区
课程
招聘
[旧帖] [求助]与某外挂的拉锯战,顺带求助大家是否有遇到过这样的验证。[Shine.Z] 0.00雪花
发表于: 2015-5-1 19:52 2269

[旧帖] [求助]与某外挂的拉锯战,顺带求助大家是否有遇到过这样的验证。[Shine.Z] 0.00雪花

2015-5-1 19:52
2269
一个月前,接到朋友的委托,对某外挂进行破解。

破解过程中,发现这外挂的作者做的十分谨慎。为什么这么说呢?
1、早前查壳就发现了是VMP强壳,好不容易脱壳了,发现新版变成了Winlicense/Themida。
(作者更新的时候还不忘与时俱进。
2、脱壳后,利用线程委托进行了校验,设置异常退出。
3、注册与登录界面均无提示,防止了利用字符串搜索查找关键CALL的爆破。
4、网络验证截获的包是全加密的。以 ?? 00 00 00 四字节开头。
5、网络验证的心跳包60s一次,截获的数据包每次都不一样,每次验证连接的端口从6801-6809轮询。
6、网络验证不使用域名,而直接使用固定IP。(修改hosts没用的,需要内存动态修改。)
7、使用了动态标题,防止捕获注入。

已经研究了一个月时间,对此挂有了一点小了解。目前找到的方法,是使用内存补丁,对网络验证的ip进行修改。想去山寨他的验证系统。
但是网络验证这一块,经验不足。没有办法,识别到作者用了什么验证。
需要各位大牛,或接触过的朋友给点思路与解决办法。告诉我这到底用的是什么验证。

留下原版附件,验证界面截图还有抓包的数据,大家一起帮着分析分析!谢谢!
--Shine.Z

图:验证界面



图:心跳包抓包数据
发送封包

接收封包


云盘链接: http://pan.baidu.com/s/1bnHE2IV 密码: h6sf

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 114
活跃值: (59)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
云盘链接,挂了。
2016-1-4 21:59
0
游客
登录 | 注册 方可回帖
返回
//