首页
社区
课程
招聘
分享我的YT88狗壳增强算法二码表查找的过程
发表于: 2021-11-15 12:52 26716

分享我的YT88狗壳增强算法二码表查找的过程

2021-11-15 12:52
26716

最近有网友问我YT88狗壳中有一个增强算法二,每次启动都会变,我就帮忙看了一下,知道了其原理,于是就有了此文。内容很简单,高手就忽略吧。
下面直接上干货:

 

首先下断点GetTickCount,断了几次之后,返回来到程序空间,看到这样的代码

 

我们可以看到,他是通过GetTickCount除以0x1FF生成一个随机数,保存起来。
然后我们对那个地址下断点后,来到这

 

我们重点看这条指令
lea edx,dword ptr ds:[ecx+eax*8+0x655]

 

也就是说ecx+0x655的地方是码表开始地址
根据tea算法我们知道每次数据长度是8,就可以解释eax是码表的Index,也就是上面用GetTickCount ➗0x1FF得到的结果,要固定随机数就直接Hook那里也行。
call 40a930是调用函数让狗运算得到对应的解码
下面这条
lea edx,dword ptr ds:[ecx+eax*8+0x1655]
是保存的对应的Answer表。
41d276是memcmp,匹配结果是否一致。
我们可以知道,QA表的长度均为0x1000。

 

样本是用的2021最新版本的狗壳,这壳不难,一般我都是直接脱,没研究过这个东西,借这次机会,也对这个狗有了新的心得。
欢迎大家踊跃交流


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2021-11-15 13:09 被少妇之友编辑 ,原因:
收藏
免费 1
支持
分享
最新回复 (8)
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
3
高手可以留一下你的联系方式吗
2022-2-8 00:54
0
雪    币: 300
活跃值: (39)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
学习
2022-2-11 10:09
0
雪    币: 175
活跃值: (2526)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
学习!
2022-2-16 09:10
0
雪    币: 427
活跃值: (409)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
lsm
6
有码表后能不能写普通的加密狗?
2023-3-29 14:22
0
雪    币: 7955
活跃值: (4704)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
lsm 有码表后能不能写普通的加密狗?
普通的不可以,特殊的自定义狗可以
2023-4-16 14:50
0
雪    币: 3070
活跃值: (30876)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
感谢分享
2023-4-16 16:51
1
雪    币: 223
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
9
计算随机数后,对哪个地址下断点?能够具体点吗?
2024-10-16 17:48
0
游客
登录 | 注册 方可回帖
返回
//