-
-
[求助]vc的网络验证如何定位按钮事件
-
发表于:
2018-5-2 07:29
3758
-
5.1过了,大家都忙起来了吧,我这里也遇到一款新的网络验证,是核盾的,之前看过一些教程,但是针对VC++或者VStudio的破文很少,这里可能大家研究的方向并不是简单的网络验证吧,但是确实难住了我,所以还是小心的发了一帖,别嫌弃我哦!
这款程序加的是VMP的壳,查壳显示的是VC++,具体版本不详细,模块中无mfc32.dll可以排除是mfc程序,然后我查找sub eax,0a,发现三处,第一处后有jz,跟随过去没有有价值的CALL。
018091E6 83E8 0A SUB EAX, 0xA ; sub eax,0a
018091E9 74 13 JE SHORT 018091FE ; jz
018091EB FF75 14 PUSH DWORD PTR SS:[EBP+0x14]
018091EE FF75 10 PUSH DWORD PTR SS:[EBP+0x10]
018091F1 FF75 0C PUSH DWORD PTR SS:[EBP+0xC]
018091F4 FF75 08 PUSH DWORD PTR SS:[EBP+0x8]
018091F7 E8 B3DDFDFF CALL 017E6FAF
018091FC EB 76 JMP SHORT 01809274
018091FE 8B07 MOV EAX, DWORD PTR DS:[EDI]
01809200 FF75 10 PUSH DWORD PTR SS:[EBP+0x10]
01809203 8BB0 70010000 MOV ESI, DWORD PTR DS:[EAX+0x170] ; <&API-MS-Win-Core-SysInfo-L1-1-0.GetVersionExA>
01809209 8BCE MOV ECX, ESI
0180920B E8 20AF1100 CALL 01924130
01809210 8BCF MOV ECX, EDI
01809212 FFD6 CALL ESI
01809214 8B4D 14 MOV ECX, DWORD PTR SS:[EBP+0x14]
头一次接触VC++的调试,我看过一个教程,搜索定位的是sub eax,0a,然后跟随jz跳转,F7进入call,再F8几次到核心代码处(有点教条式望谅解),这个程序并没有可参考的CALL或者跳转,所以问问大家该如何分析。
另外,这款程序可以爆破,但是我想获取到的是核盾相关的数据,麻烦知道的大大帮帮忙咯,谢谢!
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
