[原创]某之盾浅析

发表于: 2022-11-7 16:28 8323

[原创]某之盾浅析

Azhan_

活跃值

2022-11-7 16:28

8323

1.缘起

1	`笔者的一位朋友喜欢练刀，奈何功力不够遂寻走火入魔之道。吾得之立劝返，拿到demo x1。`

2.修炼

拿到demo一看虎躯一震，是个老壳。
图片描述
于是乎开始了快乐的F2,F7,F8，果然他还是有最基本的礼貌的！

根据字符串定位

一目了然sub_401E4A的返回结果影响了它的判断，我们帮这个歪脖子树修正（patch）一下。
整体思路就是简单过一下demo中的验证
根据语言特征上个工具看看
图片描述
得到0x40B1AB，通过上下文定位到验证的具体函数Sub_40BE0F

windows没什么基础，硬着头皮采用二分法下断点。

在这个函数里进进出出一个小时发现怎么patch都无法指向正确分支。
转战xref上层调用直接nop该函数试一下

一路尝试F8 突然内存看到成功字段于是乎直接F9放飞自我
图片描述
其中还有一个会导致exit的函数就不上了，有缘人自会碰到

3.总结

苦海无涯，回头是岸。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2022-11-7 19:02 被Azhan_编辑，原因：

收藏・1

免费・1

支持

分享

最新回复 (13)
木志本柯雪币： 4715 活跃值： (4255) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 2 楼怎么不跟进去看看它是怎么检测非法工具的 2022-11-7 16:35 0
Azhan_ 雪币： 1004 活跃值： (602) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 4 关注私信	Azhan_ 3 楼木志本柯怎么不跟进去看看它是怎么检测非法工具的我记得那个检查的逻辑写的特别长。。时间仓促具体检测点没来得及看，看到他的返回值做检查，就直接patch了 2022-11-7 16:42 0
气质征服一切雪币： 2217 活跃值： (1688) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	气质征服一切 4 楼你的English真好，有事没事add几句，看的我觉得你很fierce 2022-11-7 17:28 0
Azhan_ 雪币： 1004 活跃值： (602) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 4 关注私信	Azhan_ 5 楼气质征服一切你的English真好，有事没事add几句，看的我觉得你很fierce[em_84] .... :) 2022-11-7 19:03 0
Cohen 雪币： 1285 活跃值： (1764) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	Cohen 6 楼易之盾不可能能爆破的，只能补码，他是通过fs数据分发计算，你爆破功能不会向下执行 2022-11-23 00:42 0
ＰＥＤＩＹ雪币： 1825 活跃值： (5354) 能力值： ( LV2，RANK：10 ) 在线值：发帖 54 回帖 271 粉丝 5 关注私信	ＰＥＤＩＹ 7 楼 Cohen 易之盾不可能能爆破的，只能补码，他是通过fs数据分发计算，你爆破功能不会向下执行那全世界所有的软件和游戏都用这个保护就行了, 这世界的攻防战已经结束了？ 2022-11-23 19:06 1
小小童话雪币： 15 活跃值： (207) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	小小童话 8 楼没用VM的保护易之盾形同虚设 2022-11-24 02:11 0
Cohen 雪币： 1285 活跃值： (1764) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	Cohen 9 楼ＰＥＤＩＹ那全世界所有的软件和游戏都用这个保护就行了, 这世界的攻防战已经结束了？我说的是爆破爆破指的是无正版KEY进行破解 2022-11-27 14:24 0
ＰＥＤＩＹ雪币： 1825 活跃值： (5354) 能力值： ( LV2，RANK：10 ) 在线值：发帖 54 回帖 271 粉丝 5 关注私信	ＰＥＤＩＹ 10 楼 Cohen 我说的是爆破爆破指的是无正版KEY进行破解有正版key不用破解 2022-11-29 08:33 1
HEX010 雪币： 227 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	HEX010 11 楼ＰＥＤＩＹ有正版key不用破解 6楼说的没有错，在没有补齐数据的情况下，直接爆破是没有用的。关键数据是有正版卡密在服务器上验证成功才分发数据给客户端。但不是绝对不可能，除非你能分析出他会分发什么数据过来。 2022-12-4 19:26 0
qiusuper 雪币： 57 活跃值： (2433) 能力值： ( LV6，RANK：90 ) 在线值：发帖 0 回帖 103 粉丝 8 关注私信	qiusuper 12 楼 Cohen 易之盾不可能能爆破的，只能补码，他是通过fs数据分发计算，你爆破功能不会向下执行盾就只是个汇编的逻辑判断借用了VMP的虚拟机把代码虚拟化了 3.0以上都有收费插件跑JCC 除非一行代码一个盾不然无非就是时间成本问题罢了 2022-12-4 22:02 0
ＰＥＤＩＹ雪币： 1825 活跃值： (5354) 能力值： ( LV2，RANK：10 ) 在线值：发帖 54 回帖 271 粉丝 5 关注私信	ＰＥＤＩＹ 13 楼 HEX010 6楼说的没有错，在没有补齐数据的情况下，直接爆破是没有用的。关键数据是有正版卡密在服务器上验证成功才分发数据给客户端。但不是绝对不可能，除非你能分析出他会分发什么数据过来。那全世界所有软件和游戏都用这个保护就完事了, 为何不 2022-12-5 05:13 0
Azhan_ 雪币： 1004 活跃值： (602) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 4 关注私信	Azhan_ 14 楼 Cohen 易之盾不可能能爆破的，只能补码，他是通过fs数据分发计算，你爆破功能不会向下执行无KEY但是他程序本身有测试卡的code，目前我一直在用这个功能。。 2022-12-5 13:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

Azhan_

发帖

回帖

RANK

他的文章

[原创]虚幻引擎另类的资产dump方式 2597
[原创]某之盾浅析 8324

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//