[原创]绕过流星网络电视(MeteorNetTv) V2.23.3 在线认证-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]绕过流星网络电视(MeteorNetTv) V2.23.3 在线认证

发表于: 2007-2-1 12:43 10765

[原创]绕过流星网络电视(MeteorNetTv) V2.23.3 在线认证

theOcrat

2007-2-1 12:43

10765

标题: 【原创】绕过流星网络电视(MeteorNetTv) V2.23.3 在线认证
作者: the0crat
时间: 2007-02-01,12:55
链接: http://bbs.pediy.com/showthread.php?s=&threadid=38913

【文章标题】: 绕过流星网络电视(MeteorNetTv) V2.23.3 在线认证
【文章作者】: the0crat
【作者邮箱】: the0crat.cn_at_gmail.com
【作者主页】: http://the0crat.blogcn.com
【生产日期】: 20070201
【作者声明】: 本文仅供研究学习，本人对因这篇文章而导致的一切后果，不承担任何法律责任。本文中

的不足之处请各位多多指教
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
--------------------------------------------------------------------------------
【详细过程】

虽然先前写了算法分析，那篇当中的在线认证没有专门分析，很多人也对在线认证感兴趣。这里就当补充吧，不过没有什么技术含量的，得道高僧请飞过，不然我会内疚的。不过之所以专门写一下如何绕过在线认证着重的是过程，蛮好玩的。严格的来说也只是另一种方式的爆破。这里没有什么算法，所以也就不深入分析具体过程了。
查壳，和上一个版本一样，ASPack 2.12 -> Alexey Solodovnikov，在005713a9上f2，f9就能看到OEP了，

dump.
为了定位在线认证的位置，我们来对比几次分析一下
-插上网线，输入注册码，程序重启之后，虽然标题栏还有“钻石版”的字样，但是在“关于”里面能看到

注册信息实际上已经被删除了
-拔掉网线，输入注册码，程序重启之后，“关于”中能看到完整的注册信息
-插网线，od，ctrl+n
wininet.InternetCloseHandle
wininet.InternetConnectA
wininet.InternetCrackUrlA
wininet.InternetOpenA
wininet.InternetOpenUrlA
wininet.InternetReadFile
...
在InternetReadFile上Find Reference to import，能看到004B6E24和004DF926，下断，F9，断下来

004DF926 .  E8 1D2EF5FF call <jmp.&wininet.InternetReadFile>

总是在这里，次数太多了，我们把断点往上移，在这个函数的入口处下断

004DF804 $  55          push ebp
004DF805 .  8BEC       mov    ebp, esp
004DF807 .  81C4 E0FBFFFF add    esp, -420
004DF80D .  53          push ebx
004DF80E .  33C9       xor    ecx, ecx

Ctrl+F2，运行，第一次断下来，看堆栈最顶端的地址，Enter，

005061DC .  64:8920    mov    dword ptr fs:[eax], esp
005061DF .  8D55 C8    lea    edx, dword ptr [ebp-38]
005061E2 .  8B45 FC    mov    eax, dword ptr [ebp-4]
005061E5 .  8B80 78040000 mov    eax, dword ptr [eax+478]
005061EB .  E8 1496FDFF call 004DF804
005061F0 .  8B55 C8    mov    edx, dword ptr [ebp-38]
005061F3 .  8B45 FC    mov    eax, dword ptr [ebp-4]
005061F6 .  05 7C040000 add    eax, 47C

来到这里，先别管eax的那个文件到底是什么，在这个call的下一行下断，Ctrl+F2，先拔掉网线，运行，断下来，插上网线，运行，注册信息被删了，重新把注册信息输入
-只留004DF804处的断点，ctrl+f2，拔掉网线，f9三次，插上网线，一路f9，可以看到我们要的注册信息。那么在线注册的地方就知道了，在第二次f9之后第三次之到第二次端下来时堆栈顶端的地方，也就是这个关键call

005062F1 .  64:8920    mov    dword ptr fs:[eax], esp
005062F4 .  8B45 FC    mov    eax, dword ptr [ebp-4]
005062F7 .  8B88 D0040000 mov    ecx, dword ptr [eax+4D0]
005062FD .  8D45 A8    lea    eax, dword ptr [ebp-58]
00506300 .  BA A46B5000 mov    edx, 00506BA4                   ;  ASCII

"http://www.jesen.cn/check/isdaolian.asp.id="
00506305 .  E8 22E4EFFF call 0040472C                      ;  将机器码连在后面
0050630A .  8B45 A8    mov    eax, dword ptr [ebp-58]
0050630D .  8D55 AC    lea    edx, dword ptr [ebp-54]
00506310 .  E8 EF94FDFF call 004DF804                      ;  关键call
00506315 .  8B45 AC    mov    eax, dword ptr [ebp-54]
00506318 .  8D55 F4    lea    edx, dword ptr [ebp-C]

这就有一个很简单的能绕过认证的方法，因为拔掉网线时不会断在关键call后面，插上网线时会断在这里，也就是只要能打开那个url才继续认证，那么把这个url改成别的就达到目的了
总的来说，其实也就是检查一下盗链吧。那让它检查不了就行了，当然也有别的办法，这里就不多费口舌了

又可参考http://bbs.pediy.com/showthread.php?s=&threadid=37659

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・1

免费・0

支持

最新回复 (20)
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 2 楼没有这么简单？每次选择一个频道都会进行网络验证，网络验证通过了才会返回正确的播放页面，否则显示盗连页面。所以你这个是表面破解。 2007-2-1 13:22 0
china 雪币： 3519 活跃值： (4047) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1983 粉丝 9 关注私信	china 5 3 楼最初由 gkend* 发布* 没有这么简单？每次选择一个频道都会进行网络验证，网络验证通过了才会返回正确的播放页面，否则显示盗连页面。所以你这个是表面破解。基本上同意 2007-2-1 13:54 0
mzky 雪币： 431 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	mzky 4 楼最初由 gkend* 发布* 没有这么简单？每次选择一个频道都会进行网络验证，网络验证通过了才会返回正确的播放页面，否则显示盗连页面。所以你这个是表面破解。同意楼上俺也是这么搞滴 8行啊还有另一种在线验证软件俺就不说了是在服务器中储存部分代码就像加密狗似的需要在线链接后部分内容才可用郁闷尼 2007-2-1 14:13 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 5 楼最初由 gkend* 发布* 没有这么简单？每次选择一个频道都会进行网络验证，网络验证通过了才会返回正确的播放页面，否则显示盗连页面。所以你这个是表面破解。请仔细看一下文章，我都写的很清楚了，做了各种条件的对比，请看完再评论，谢谢。恰好这个软件很没意思，别以为每个网络认证都是照你说的做的上传的附件：未命名.jpg （61.15kb，50次下载） 2007-2-1 15:10 0
yunfeng 雪币： 269 活跃值： (51) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 489 粉丝 0 关注私信	yunfeng 1 6 楼为了看一个电视节目,象你的说的这种方法,累不累人呀! 2007-2-1 16:54 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 7 楼最初由 yunfeng* 发布* 为了看一个电视节目,象你的说的这种方法,累不累人呀! 每搞定一个软件都很爽，看不看电视倒无所谓。是吧，兄台 2007-2-1 17:27 0
okokgogo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	okokgogo 8 楼小弟是菜鸟中的菜鸟看不明白 2007-2-1 19:16 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 9 楼最初由 theOcrat* 发布* 请仔细看一下文章，我都写的很清楚了，做了各种条件的对比，请看完再评论，谢谢。恰好这个软件很没意思，别以为每个网络认证都是照你说的做的希望你把每个频道测试一下，有些频道本来就是不做任何破解都能用。再就是作者有些偷懒没有每天更新频道的页面地址，所以你可能继续能用一段时间，但是只要一更新每个频道的对应的页面文件名或地址，你由于不能通过网络认证就不能随时更新而无法收看。对于这个，我认为只能找一个正版用户，几个人共用一个KEY,但是共用的人太多了也容易被发现. 2007-2-1 20:26 0
紫色缘雪币： 253 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 12 回帖 384 粉丝 0 关注私信	紫色缘 7 10 楼我顶 2007-2-1 21:03 0
无幻刹那雪币： 214 活跃值： (10) 能力值： ( LV9，RANK：170 ) 在线值：发帖 17 回帖 53 粉丝 0 关注私信	无幻刹那 4 11 楼我啃，楼上的好酒每看到了哈 2007-2-1 21:06 0
紫色缘雪币： 253 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 12 回帖 384 粉丝 0 关注私信	紫色缘 7 12 楼最初由无幻刹那* 发布* 我啃，楼上的好酒每看到了哈好久没见兄弟你了 2007-2-1 22:12 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 13 楼最初由 gkend* 发布* 希望你把每个频道测试一下，有些频道本来就是不做任何破解都能用。再就是作者有些偷懒没有每天更新频道的页面地址，所以你可能继续能用一段时间，但是只要一更新每个频道的对应的页面文件名或地址，你由于不能通过网络认证就不能随时更新而无法收看。对于这个，我认为只能找一个正版用户，几个人共用一个KEY,但是共用的人太多了也容易被发现. 这样说吧，现在（2007年2月2日1:49分），随便找了两个，未注册版的"影视剧"->"HBO"是灰色的，我改过的钻石版的是绿色的，但是点了以后一直在连接服务器。未注册版的"VIP"->"影视剧场[电信]"->"mtv"是灰色的，钻石版的是绿色的，可用。它靠update.ini来更新三个文件，我把那三个文件改了字节，把update.ini纪录的日期改前了，然后呢，测试正常通过，三个文件被更新了，update.ini也更新了。简单来说，我不希望没有真正动手测试过或者客观的动脑思考过的人来给我出一些没有价值的问题 2007-2-2 01:59 0
backboy 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 92 粉丝 0 关注私信	backboy 14 楼经测试，theOcrat的方法确实可以绕过网络验证，但VIP大部分还是不能看，不知是软件本身的问题还是破解不完全，我破的金贝也存在这个问题，虽都变绿了但VIP部分还是有不少内容看不成，提示连接不上；请高手指教。 2007-2-2 17:22 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 15 楼最初由 backboy* 发布* 经测试，theOcrat的方法确实可以绕过网络验证，但VIP大部分还是不能看，不知是软件本身的问题还是破解不完全，我破的金贝也存在这个问题，虽都变绿了但VIP部分还是有不少内容看不成，提示连接不上；请高手指教。对，没有一个合法的id来对比，确实无法知道这个问题的原因，只是这个软件即便是普通的台，也有很多看不了，所以以我现在的环境只能推出软件问题的概率大于破解问题的概率。请高手指教 2007-2-3 10:08 0
绫濑遥雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 104 粉丝 0 关注私信	绫濑遥 1 16 楼很好很强大楼主不用理gkend这类贱人的这个人没有大脑，何来思考他要是什么说什么，楼主就当哄哄小猪仔让着他吧要是真的讨论下去，他发现自己错了以后，就开始对别人人身攻击了 2007-2-3 10:14 0
chadd 雪币： 277 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 105 粉丝 1 关注私信	chadd 17 楼最初由 theOcrat* 发布* 每搞定一个软件都很爽，看不看电视倒无所谓。是吧，兄台很对 2007-2-20 15:31 0
愤怒菜板雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 66 粉丝 0 关注私信	愤怒菜板 18 楼好文顶学习学习 2007-2-21 14:24 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 19 楼楼主根本就没有搞懂所有验证方式，他只说明了一种。不破解能用的频道，试用用户。简单破解能用的频道（楼主的方法），标准用户。服务器验证后返回正确的播放页面的频道，VIP用户。 2007-2-24 10:05 0
houfengbo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	houfengbo 20 楼同意以上观点，希望高手指点迷津 2007-2-24 12:47 0
walgq 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	walgq 21 楼大哥，请把以前分析的在哪里啊？从头学习一下 2007-2-24 16:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

theOcrat

发帖

228

回帖

330

RANK

关注

私信

他的文章

[求助]如何step into更快 5363
tmd的一个无聊的anti-1910script 7069

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 2 楼没有这么简单？每次选择一个频道都会进行网络验证，网络验证通过了才会返回正确的播放页面，否则显示盗连页面。所以你这个是表面破解。 2007-2-1 13:22 0
china 雪币： 3519 活跃值： (4047) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1983 粉丝 9 关注私信	china 5 3 楼最初由 gkend* 发布* 没有这么简单？每次选择一个频道都会进行网络验证，网络验证通过了才会返回正确的播放页面，否则显示盗连页面。所以你这个是表面破解。基本上同意 2007-2-1 13:54 0
mzky 雪币： 431 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	mzky 4 楼最初由 gkend* 发布* 没有这么简单？每次选择一个频道都会进行网络验证，网络验证通过了才会返回正确的播放页面，否则显示盗连页面。所以你这个是表面破解。同意楼上俺也是这么搞滴 8行啊还有另一种在线验证软件俺就不说了是在服务器中储存部分代码就像加密狗似的需要在线链接后部分内容才可用郁闷尼 2007-2-1 14:13 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 5 楼最初由 gkend* 发布* 没有这么简单？每次选择一个频道都会进行网络验证，网络验证通过了才会返回正确的播放页面，否则显示盗连页面。所以你这个是表面破解。请仔细看一下文章，我都写的很清楚了，做了各种条件的对比，请看完再评论，谢谢。恰好这个软件很没意思，别以为每个网络认证都是照你说的做的上传的附件：未命名.jpg （61.15kb，50次下载） 2007-2-1 15:10 0
yunfeng 雪币： 269 活跃值： (51) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 489 粉丝 0 关注私信	yunfeng 1 6 楼为了看一个电视节目,象你的说的这种方法,累不累人呀! 2007-2-1 16:54 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 7 楼最初由 yunfeng* 发布* 为了看一个电视节目,象你的说的这种方法,累不累人呀! 每搞定一个软件都很爽，看不看电视倒无所谓。是吧，兄台 2007-2-1 17:27 0
okokgogo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	okokgogo 8 楼小弟是菜鸟中的菜鸟看不明白 2007-2-1 19:16 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 9 楼最初由 theOcrat* 发布* 请仔细看一下文章，我都写的很清楚了，做了各种条件的对比，请看完再评论，谢谢。恰好这个软件很没意思，别以为每个网络认证都是照你说的做的希望你把每个频道测试一下，有些频道本来就是不做任何破解都能用。再就是作者有些偷懒没有每天更新频道的页面地址，所以你可能继续能用一段时间，但是只要一更新每个频道的对应的页面文件名或地址，你由于不能通过网络认证就不能随时更新而无法收看。对于这个，我认为只能找一个正版用户，几个人共用一个KEY,但是共用的人太多了也容易被发现. 2007-2-1 20:26 0
紫色缘雪币： 253 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 12 回帖 384 粉丝 0 关注私信	紫色缘 7 10 楼我顶 2007-2-1 21:03 0
无幻刹那雪币： 214 活跃值： (10) 能力值： ( LV9，RANK：170 ) 在线值：发帖 17 回帖 53 粉丝 0 关注私信	无幻刹那 4 11 楼我啃，楼上的好酒每看到了哈 2007-2-1 21:06 0
紫色缘雪币： 253 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 12 回帖 384 粉丝 0 关注私信	紫色缘 7 12 楼最初由无幻刹那* 发布* 我啃，楼上的好酒每看到了哈好久没见兄弟你了 2007-2-1 22:12 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 13 楼最初由 gkend* 发布* 希望你把每个频道测试一下，有些频道本来就是不做任何破解都能用。再就是作者有些偷懒没有每天更新频道的页面地址，所以你可能继续能用一段时间，但是只要一更新每个频道的对应的页面文件名或地址，你由于不能通过网络认证就不能随时更新而无法收看。对于这个，我认为只能找一个正版用户，几个人共用一个KEY,但是共用的人太多了也容易被发现. 这样说吧，现在（2007年2月2日1:49分），随便找了两个，未注册版的"影视剧"->"HBO"是灰色的，我改过的钻石版的是绿色的，但是点了以后一直在连接服务器。未注册版的"VIP"->"影视剧场[电信]"->"mtv"是灰色的，钻石版的是绿色的，可用。它靠update.ini来更新三个文件，我把那三个文件改了字节，把update.ini纪录的日期改前了，然后呢，测试正常通过，三个文件被更新了，update.ini也更新了。简单来说，我不希望没有真正动手测试过或者客观的动脑思考过的人来给我出一些没有价值的问题 2007-2-2 01:59 0
backboy 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 92 粉丝 0 关注私信	backboy 14 楼经测试，theOcrat的方法确实可以绕过网络验证，但VIP大部分还是不能看，不知是软件本身的问题还是破解不完全，我破的金贝也存在这个问题，虽都变绿了但VIP部分还是有不少内容看不成，提示连接不上；请高手指教。 2007-2-2 17:22 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 15 楼最初由 backboy* 发布* 经测试，theOcrat的方法确实可以绕过网络验证，但VIP大部分还是不能看，不知是软件本身的问题还是破解不完全，我破的金贝也存在这个问题，虽都变绿了但VIP部分还是有不少内容看不成，提示连接不上；请高手指教。对，没有一个合法的id来对比，确实无法知道这个问题的原因，只是这个软件即便是普通的台，也有很多看不了，所以以我现在的环境只能推出软件问题的概率大于破解问题的概率。请高手指教 2007-2-3 10:08 0
绫濑遥雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 104 粉丝 0 关注私信	绫濑遥 1 16 楼很好很强大楼主不用理gkend这类贱人的这个人没有大脑，何来思考他要是什么说什么，楼主就当哄哄小猪仔让着他吧要是真的讨论下去，他发现自己错了以后，就开始对别人人身攻击了 2007-2-3 10:14 0
chadd 雪币： 277 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 105 粉丝 1 关注私信	chadd 17 楼最初由 theOcrat* 发布* 每搞定一个软件都很爽，看不看电视倒无所谓。是吧，兄台很对 2007-2-20 15:31 0
愤怒菜板雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 66 粉丝 0 关注私信	愤怒菜板 18 楼好文顶学习学习 2007-2-21 14:24 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 19 楼楼主根本就没有搞懂所有验证方式，他只说明了一种。不破解能用的频道，试用用户。简单破解能用的频道（楼主的方法），标准用户。服务器验证后返回正确的播放页面的频道，VIP用户。 2007-2-24 10:05 0
houfengbo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	houfengbo 20 楼同意以上观点，希望高手指点迷津 2007-2-24 12:47 0
walgq 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	walgq 21 楼大哥，请把以前分析的在哪里啊？从头学习一下 2007-2-24 16:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复