首页
社区
课程
招聘
[求助]再次受挫
发表于: 2007-2-7 16:25 6735

[求助]再次受挫

2007-2-7 16:25
6735
一、简介  

【郑重声明】:本文只为技术而破解,纯属技术交流, 请勿用于非法用途。  
【软件名称】:国产登陆器
【下载页面】:http://www.wooolff.com/xuexue.exe (PS:一直关注这个东西今天居然换壳了)
【软件简介】:登陆器
【调试环境】:winxp、OD-fly修改版、PEID0.94
【软件限制】:专杀加速器进程.

1.脱壳
  用PEID0.94查看主程序,壳为UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo[overlay]
Ollydbg载入主程序:
004C1A20 >  60              pushad
004C1A21    BE 00704600     mov     esi, 00467000
004C1A26    8DBE 00A0F9FF   lea     edi, [esi+FFF9A000]
004C1A2C    57              push    edi
004C1A2D    83CD FF         or      ebp, FFFFFFFF
004C1A30    EB 10           jmp     short 004C1A42
004C1A32    90              nop
004C1A33    90              nop
004C1A34    90              nop
004C1A35    90              nop
004C1A36    90              nop
004C1A37    90              nop
004C1A38    8A06            mov     al, [esi]
004C1A3A    46              inc     esi
004C1A3B    8807            mov     [edi], al

单步F8查看寄存器.

---------寄存器-------
EAX 00000000
ECX 0012FFB0
EDX 7C92EB94 ntdll.KiFastSystemCallRet
EBX 7FFDE000
ESP 0012FFA4
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930738 ntdll.7C930738
EIP 004C1A21 xuexue.004C1A21
---------------------------
根据ESP定律规则,现在在命令栏中下 hr 0012FFA4命令,回车,F9运行:

004C1B83  - E9 A91CF4FF     jmp     00403831
004C1B88    0000            add     [eax], al
004C1B8A    0000            add     [eax], al
004C1B8C    0000            add     [eax], al
004C1B8E    0000            add     [eax], al
004C1B90    0000            add     [eax], al
004C1B92    0000            add     [eax], al
004C1B94    0000            add     [eax], al
004C1B96    0000            add     [eax], al

单步F8来到.

00403831    55              push    ebp     在这用DUMP这个程序
00403832    8BEC            mov     ebp, esp
00403834    6A FF           push    -1
00403836    68 F0624000     push    004062F0
0040383B    68 A44C4000     push    00404CA4
00403840    64:A1 00000000  mov     eax, fs:[0]
00403846    50              push    eax
00403847    64:8925 0000000>mov     fs:[0], esp
0040384E    83EC 58         sub     esp, 58
00403851    53              push    ebx
00403852    56              push    esi
00403853    57              push    edi
00403854    8965 E8         mov     [ebp-18], esp
00403857    FF15 48604000   call    [406048]                         ; kernel32.GetVersion

脱壳修复:

运行ImportREC 1.6,选择这个进程,把OEP改为 00403831 ,点ITAutoSearch,指针全部有效。FixDump!
修复完之后,运行.  Invalid date ia file.!!!!!!!

加上overlay数据之后.程序.运行正常.

用OD载入.ALT+M 在代码断下断.
F9跑起来.
用自带的插件.查找.字符串.

Ultra String Reference
Address    Disassembly                               Text String
004A040B   db      68                                你选择的太快了,上一条列表状态还在检测中,请稍后.
004A07D0   ascii   "h?"                               …   检测服务器状态中   …
004A0A0E   push    0040DA54                           …
004A0A16   push    0040DA58                           …
004A0A94   db      68                                 … 连接失败,请重新选择游戏分区 …
004A0B9D   mov     eax, 00411E04                     woool.dat
004A144E   db      B8                                woool.dat
004A147D   db      B8                                woool.dat
004A14AC   db      B8                                woool.dat
004A14DB   db      B8                                woool.dat
004A150A   db      B8                                woool.dat
004A1889   db      68                                \data\config.ini
004A1948   db      68                                \data\config.ini
004A1977   db      68                                yes
004A1983   db      68                                fullscreen
004A198F   db      68                                config
004A1A01   db      68                                \data\config.ini
004A1A30   db      68                                no
004A1A3C   db      68                                fullscreen
004A1A48   db      68                                config
004A1AEE   db      68                                您没有选择服务器列表 或 服务器关闭中.
004A1BA4   push    00411E66                          about:blank
004A1C44   db      68                                您没有选择服务器列表 或 服务器关闭中.
004A1DFA   db      68                                \jcm.tx11\data\jcm.1112jc
004A1E79   push    00411E7B                          \data\jcm.1112jc
004A1ED1   db      68                                jc
004A1EDD   db      68                                jc
004A1F3D   db      68                                \data\woool.dat
004A1FC8   db      B8                                请把登陆器放传世目录里
004A2013   db      68                                \data\woool.dat
004A20AE   db      68                                \data\woool.dat
004A2149   db      68                                \data\woool.dat
004A21E4   db      68                                \data\woool.dat
004A2332   db      B8                                127.0.0.1
004A2351   db      B8                                3166
004A237E   db      B8                                woool.dat
004A23AD   db      B8                                woool.dat
004A23DC   db      B8                                woool.dat
004A240B   db      B8                                woool.dat
004A243A   db      B8                                提示:
004A244D   db      B8                                运行游戏失败,请重新打开登录器进入游戏
004A2BB4   push    00411EF6                          \data\game.ini
004A2C33   push    00411F05                          \group88.dat
004A2CB2   push    00411F12                          \group.dat
004A2D31   push    00411F1D                          \patch.ini
004A2DB0   push    00411F1D                          \patch.ini
004A2E83   db      68                                \data\game.ini
004A2EC8   db      68                                group0
004A2ED4   db      68                                config
004A2F24   db      68                                \data\game.ini
004A2F69   db      68                                groupnick0
004A2F75   db      68                                config
004A2FC5   db      68                                \data\game.ini
004A2FF4   db      68                                1
004A3000   db      68                                groupnum
004A300C   db      68                                config
004A305C   db      68                                \data\game.ini
004A308B   db      68                                127.0.0.1
004A3097   db      68                                serverip
004A30A3   db      68                                config
004A30F3   db      68                                \data\game.ini
004A3122   db      68                                7521
004A312E   db      68                                serverport
004A313A   db      68                                config
004A318A   db      68                                \data\game.ini
004A31B9   db      68                                1
004A31C5   db      68                                area
004A31D1   db      68                                config
004A3221   db      68                                \data\game.ini
004A3266   db      68                                payserverip
004A3272   db      68                                config
004A32C2   db      68                                \data\game.ini
004A3307   db      68                                guildlogo
004A3313   db      68                                config
004A3363   db      68                                \data\game.ini
004A33A8   db      68                                logofile
004A33B4   db      68                                config
004A3404   db      68                                \data\game.ini
004A3449   db      68                                feedback
004A3455   db      68                                config
004A34A5   db      68                                \data\game.ini
004A34EA   db      68                                fdfilename
004A34F6   db      68                                config
004A3546   db      68                                \data\game.ini
004A358B   db      68                                poptang
004A3597   db      68                                config
004A35E7   db      68                                \data\game.ini
004A362C   db      68                                poptanginfo
004A3638   db      68                                config
004A3688   db      68                                \data\game.ini
004A36CD   db      68                                ekey
004A36D9   db      68                                config
004A3729   db      68                                \data\game.ini
004A376E   db      68                                note
004A377A   db      68                                config
004A37CA   db      68                                \data\game.ini
004A380F   db      68                                help
004A381B   db      68                                config
004A386B   db      68                                \data\game.ini
004A38B0   db      68                                act
004A38BC   db      68                                config
004A390C   db      68                                \data\game.ini
004A3951   db      68                                website
004A395D   db      68                                config
004A39AD   db      68                                \data\game.ini
004A39F2   db      68                                support
004A39FE   db      68                                config
004A3A4E   db      68                                \data\game.ini
004A3A93   db      68                                poptsale
004A3A9F   db      68                                config
004A3AEF   db      68                                \data\game.ini
004A3B34   db      68                                newuser
004A3B40   db      68                                config
004A3B90   db      68                                \data\game.ini
004A3BD5   ascii   "h?A"                             bind
004A3BE1   db      68                                config
004A3C31   db      68                                \data\website.ini
004A3C76   db      68                                payserverip
004A3C82   db      68                                config
004A3CD2   db      68                                \data\website.ini
004A3D17   ascii   "h?A"                             checkfile
004A3D23   db      68                                config
004A3D73   db      68                                \data\website.ini
004A3DB8   ascii   "h?A"                             interfacefile
004A3DC4   db      68                                config
004A3E14   db      68                                \data\website.ini
004A3E59   db      68                                feedback
004A3E65   db      68                                config
004A3EB5   db      68                                \data\website.ini
004A3EFA   db      68                                fdfilename
004A3F06   db      68                                config
004A3F56   db      68                                \data\website.ini
004A3F9B   db      68                                poptang
004A3FA7   db      68                                config
004A3FF7   db      68                                \data\website.ini
004A403C   db      68                                poptanginfo
004A4048   db      68                                config
004A4098   db      68                                \data\website.ini
004A40DD   db      68                                ekey
004A40E9   db      68                                config
004A4139   db      68                                \data\website.ini
004A417E   db      68                                note
004A418A   db      68                                config
004A41DA   db      68                                \data\website.ini
004A421F   db      68                                help
004A422B   db      68                                config
004A427B   db      68                                \data\website.ini
004A42C0   db      68                                act
004A42CC   db      68                                config
004A431C   db      68                                \data\website.ini
004A4361   db      68                                website
004A436D   db      68                                config
004A43BD   db      68                                \data\website.ini
004A4402   db      68                                support
004A440E   db      68                                config
004A445E   db      68                                \data\website.ini
004A44A3   db      68                                poptsale
004A44AF   db      68                                config
004A44FF   db      68                                \data\website.ini
004A4544   db      68                                newuser
004A4550   db      68                                config
004A45A0   db      68                                \data\website.ini
004A45E5   ascii   "h?A"                             bind
004A45F1   db      68                                config
004A4641   db      68                                \data\website.ini
004A4686   ascii   "h?A"                             invest
004A4692   db      68                                config
004A46E2   db      68                                \data\website.ini
004A4727   ascii   "h?A"                             ptdetail
004A4733   db      68                                config
004A491F   push    004124B2                          ;
004A492A   ascii   "h?A"                             name=
004A4984   push    004124B2                          ;
004A498F   ascii   "h?A"                             nameex=
004A49E9   db      B8                                regnew=1;1;
004A4A36   db      68                                group0=
004A4A96   db      68                                groupnick0=
004A4AF0   db      B8                                serveraddr=127.0.0.1
004A4DCB   db      68                                \group.dat
004A5DB3   push    004124B2                          ;
004A5DBE   ascii   "h?A"                             name=
004A5E18   push    004124B2                          ;
004A5E23   ascii   "h?A"                             nameex=
004A5E7D   db      B8                                regnew=1;1;
004A5ECA   db      68                                group0=
004A5F2A   db      68                                groupnick0=
004A5F84   db      B8                                serveraddr=127.0.0.1
004A625F   db      68                                \group88.dat
004A70C6   mov     eax, 00412609                     友情提示:
004A7620   push    00412614                          krnln.fnr
004A7697   push    00412614                          krnln.fnr
004A76E9   push    0041261E                          dll.dll
004A77BE   push    0040DA54                           …
004A77C6   push    0040DA58                           …
004A7E4B   db      B8                                krnln.fnr
004A7EA0   ascii   "h.&A"                            \
004A7EEB   ascii   "h0&A"                            software\flysky\e\install\path
004A7F0E   push    0041264F                          krnln.fne
004A7F5C   db      68                                krnln.fnr
004A7F74   push    0041264F                          krnln.fne
004A7FED   db      B8                                krnln.fne
004A8042   ascii   "h.&A"                            \
004A808D   ascii   "h0&A"                            software\flysky\e\install\path
004A81CD   push    0041262E                          \
004A9952   ascii   "ha&A"                            list.woool988.com
004A9A20   ascii   "hs&A"                            1981/01/01
004A9AB5   db      68                                open
004A9AFD   db      68                                127.0.0.1
004A9B95   db      68                                失败
004A9BAD   db      68                                连接服务器失败,您可以重新尝试连接.
004A9C4C   ascii   "hs&A"                            1981/01/01
004A9DA5   mov     eax, 00411E66                     about:blank
004AA087   ascii   "h李A",0                           saffinitymask
004AA280   push    00414847                          wsock32.dll
004AA2A4   push    00414853                          ws2_32.dll
004AA3B3   push    0041485E                          sedebugprivilege
004AA6BC   db      68                                您没有选择服务器列表 或 服务器关闭中.
004AA77C   db      68                                提示:
004AA794   ascii   "hoHA"                            资料填写不完整,请认真检查!
004AA82E   db      68                                提示:
004AA846   ascii   "hoHA"                            资料填写不完整,请认真检查!
004AA8E0   db      68                                提示:
004AA8F8   ascii   "hoHA"                            资料填写不完整,请认真检查!
004AA992   db      68                                提示:
004AA9AA   ascii   "hoHA"                            资料填写不完整,请认真检查!
004AAA44   db      68                                提示:
004AAA5C   ascii   "hoHA"                            资料填写不完整,请认真检查!
004AAAF6   db      68                                提示:
004AAB0E   ascii   "hoHA"                            资料填写不完整,请认真检查!
004AAB9A   db      68                                1
004AAE44   db      68                                超速
004AAE5C   db      68                                请稍等片刻再点<确认找回>按钮!
004AB27E   db      68                                #
004ABBAD   push    004148D5                          #1vvfuv<[uvvfuvvfu
004AC09B   db      68                                00
004AC65F   push    004148EB                          0
004AC9E3   db      68                                pasd@
004ACA55   db      68                                pasd@
004ACB27   db      68                                1
004ACBC1   db      68                                帐号不存在
004ACBEE   db      68                                aft
004ACC06   db      68                                游戏帐号不存在
004ACC27   db      68                                问题答案错误
004ACC54   db      68                                aft
004ACC6C   db      68                                您提交问题答案错误
004ACC90   db      68                                您的密码已找回\n\n您的密码是:
004ACCAC   db      68                                aft
004ACD6A   db      68                                aft
004ACD82   db      68                                找回失败,请认真检查您填写的资料!
004ACE23   db      68                                m5
004ACE3B   db      68                                资料有误,找回密码失败!!
004ACE5C   ascii   "h?A"                             -1
004ACE75   ascii   "h?A"                             \n\n  请尽快修改您的密码!
004ACE7D   push    004149B6                          恭喜您,您提供的资料完全正确,您的密码是:
004ACE99   db      68                                m5
004ACF50   ascii   "h呱A"                             -2
004ACF7D   db      68                                m5
004ACF95   ascii   "h馍A"                             您填写的资料有误,请认真核实后在进行密码找回操作.
004AD046   mov     eax, 00414905                     帐号不存在
004AD098   mov     eax, 00414923                     问题答案错误
004AE90E   push    00414A7C                          #??o@?q[pvvfuvvfu!
004AE997   mov     eax, 0041499B                     -1
004AEF83   db      68                                00
004AF140   db      68                                00
004AF328   db      68                                00
004AF56E   db      68                                00
004AF631   db      68                                00
004AF927   db      68                                00
004AFAE4   db      68                                00
004B016B   db      68                                错误
004B0183   db      68                                两次输入的新密码不同,请确认!!
004B02EF   db      68                                超速
004B0307   db      68                                请稍等片刻再点<修改密码>按钮!
004B0406   push    00414AD8                          #1vvfuvgguvvfuvvfu
004B0494   db      68                                127.0.0.1
004B052C   db      68                                失败
004B0544   db      68                                连接服务器失败,您可以重新尝试连接.
004B0641   db      68                                您没有选择服务器列表 或 服务器关闭中.
004B073E   db      68                                成功
004B0756   db      68                                密码修改成功,请牢记您修改的密码!
004B07D2   db      68                                失败
004B07EA   db      68                                原密码错误
004B081C   db      68                                错误
004B0834   db      68                                帐号不存在
004B0874   push    00414B1C                          #vvfuv@esvvfuvvfu!
004B0904   push    00414B2F                          #??o@??eovvfuvvfu!
004B0994   push    00414B42                          #vvfuv?esvvfuvvfu!
004B0A49   db      68                                127.0.0.1
004B0AE1   db      68                                失败
004B0AF9   db      68                                连接服务器失败,您可以重新尝试连接.
004B0BF2   db      68                                \data\woool.dat.update
004B0C72   db      68                                \data\woool.dat
004B0CF1   db      68                                \data\woool.dat.update
004B0D2E   db      68                                \data\woool.dat
004B0DC5   db      68                                \data\woool.dat
004B0E37   db      68                                传奇世界目录
004B0E43   db      68                                software\shanda\woool\setup path
004B0E81   db      68                                传奇世界目录
004B0EAF   push    00414BAA                          \data\mmap\000\00001.mmp
004B0F3A   db      B8                                搜寻客户端
004B0F4D   db      B8                                提示:从注册表查找传奇世界安装目录失败!\n\n\n\n是否启动自动搜寻功能搜索,并复制登陆器到传奇世界目录运行?
004B0FDC   db      68                                \n\n您是否允许登录器自动放入传奇世界目录并运行呢呢?
004B0FE4   push    00414C63                          登录器查找到传奇世界目录为:
004B1066   push    0041262E                          \
004B10FD   push    0041262E                          \
004B114D   push    0041262E                          \
004B11E7   push    0041262E                          \
004B127A   db      68                                请手动将登录器放入传奇世界目录
004B1331   db      68                                监听本地端口7521失败,请重新启动登陆器尝试.\n\n如果仍未能解决,请重新启动电脑器尝试!
004B1370   db      68                                不允许双开,请检查是否已经打开了一个登录器,如果您未双开,请重新启动您的电脑!
004B13B7   db      68                                drivers\etc\hosts
004B1447   db      68                                drivers\etc\hosts
004B1510   db      68                                传世私服万能外挂钥匙.lnk
004B159F   db      68                                jzysf无耻
004B15B7   db      68                                请移除您计算机上的 <传世私服万能外挂钥匙> 否则无法运行游戏!.
004B15F7   db      68                                \lvkjfs111t
004B1688   db      68                                .lnk
004B1693   ascii   "h.&A"                            \
004B16E8   push    0041262E                          \
004B1731   db      68                                程序制作:熊猫太子 联系qq:7657619
004B1970   db      68                                \data\mmap\005\00510.mmp
004B19EF   db      68                                \data\mmap\005\00510.mmp
004B1A6E   db      68                                \data\config.ini
004B1AA3   db      68                                fullscreen
004B1AAF   db      68                                config
004B1AED   db      68                                yes
004B4DC9   push    ebp                               (initial cpu selection)
004B4DD2   mov     eax, 0041D9C3                     ?{(zz)z{(vv&ma}za)d{~va)x{mzi)${hz8)$ayzi)m{
004B4DF1   db      B8                                ijry}eajuy$u~%by(ez%v3(e$j~y:exjcytei%5y:e:j?3tepjv3}egjry
004B4E10   db      B8                                $)m{(zm)@aivv&d{}zm&$a}zi)i)x{:z8)5{~vt)x{xzv&5{hz?&m{0zz)
004B4E2F   db      B8                                ~zry}eajuy$u~%by(ew%v3(e$j~y:exjcytei%5y:e:j?3tepjv3}egjry
004B4E4E   db      B8                                mf:duc$fad$#_ijkzuw%r3buw%03
004B4E6D   db      B8                                mf:duc$fad$#_ijk
004B4E8C   db      B8                                $)m{(zm)wu~%?3(emjbyv3(e$j~y:exjcytei%5y:e:j?3tepjv3vedj?y
004B4EAB   db      B8                                ~zz)m{bza)maiva)d{}z~va)x{mzi)${hz8)$ayzi)m{ivz)0{rv?&m{0zz)
004B4ECA   db      B8                                ua%v3&1se{jzy)_n#of>dh6uc*i9kjrqlgytc8pht5v?i~m$x:rzab}md(w@g0
004B4EE9   db      B8                                   
004B50A5   db      68                                .dat
004B50B0   ascii   "h.&A"                            \
004B510A   db      68                                .bak
004B5115   ascii   "h.&A"                            \
004B5202   mov     eax, 0041E69D                     abcdefghijklmnopqrstuvwxyz0123456789abcdefghijklmnopqrstuvwxyz
004B56FD   mov     eax, 0041E6DC                     .
004B571C   db      B8                                h
004B573B   db      B8                                t
004B575A   db      B8                                p
004B5779   db      B8                                :
004B5798   db      B8                                /
004B57B7   db      B8                                w
004B57D6   db      B8                                o
004B57F5   db      B8                                l
004B5814   db      B8                                b
004B5833   db      B8                                c
004B5852   db      B8                                m
004B5871   db      B8                                n
004B5890   db      B8                                a
004B58AF   db      B8                                f
004B58CE   db      B8                                p
004B58ED   db      B8                                j
004B590C   db      B8                                t
004B592B   db      B8                                s
004B594A   db      B8                                t
004B5969   db      B8                                x
004B5988   db      B8                                j
004B5D50   push    0041E700                           … 正在获取远程分区列表 …
004B5D8B   db      68                                http://dlq.lvxy.net/dlqtj.htm
004B5EA1   db      68                                无法找到文件
004B5F1F   db      68                                无法找到网页
004B5F9D   db      68                                无法找到该页
004B601B   db      68                                文件或目录未找到
004B619E   db      68                                无法找到文件
004B621C   db      68                                无法找到网页
004B629A   db      68                                无法找到该页
004B6318   db      68                                文件或目录未找到
004B649B   db      68                                无法找到文件
004B6519   db      68                                无法找到网页
004B6597   db      68                                无法找到该页
004B6615   db      68                                文件或目录未找到
004B675A   db      68                                无法找到文件
004B67D8   db      68                                无法找到网页
004B6856   db      68                                无法找到该页
004B68D4   db      68                                文件或目录未找到
004B6963   db      68                                what?
004B697B   db      68                                无法读到远程列表,是否重新读取?
004B69B0   db      68                                 … 选择你要的登陆的游戏区登陆 …
004B6C4C   db      68                                显示名字
004B6CFF   db      68                                服务器名
004B6DB2   db      68                                服务器ip
004B6E65   db      68                                服务器端口
004B6F18   db      68                                游戏版本
004B6FCB   db      68                                网关密码
004B722E   push    00412683                          失败
004B723A   push    0041E7F1                          software\microsoft\windows nt\currentversion\registeredowner
004B7278   push    00412683                          失败
004B7291   push    0041E82E                          \cookies
004B7299   push    0041E837                          c:\documents and settings\
004B72E4   push    0041E82E                          \cookies
004B72EC   push    0041E852                          d:\documents and settings\
004B7337   push    0041E82E                          \cookies
004B733F   push    0041E86D                          e:\documents and settings\
004B738A   push    0041E82E                          \cookies
004B7392   push    0041E888                          f:\documents and settings\
004B73DD   push    0041E82E                          \cookies
004B73E5   push    0041E8A3                          g:\documents and settings\
004B74AB   push    0041E8BE                          \fpj.121
004B752A   push    0041E8C7                          \fpjts111111111s
004B75A9   push    0041E8BE                          \fpj.121
004B7670   db      68                                \fpj.121
004B76EF   db      68                                \fpjts111111111s
004B77B6   db      68                                \fpjts111111111s
004B7835   db      68                                \fpj.121
004B78C3   db      68                                \fpjts111111111s
004B78F8   db      68                                1111s
004B7904   db      68                                1s
004B7942   db      68                                1
004B79AC   db      68                                \fpj.121
004B7A2B   db      68                                \fpjts111111111s
004B7AAA   db      68                                \fpj.121
004B7B1D   db      68                                \fpjts111111111s
004B7B94   db      68                                登陆器已过期,请升级最新版本.
004B7BCA   db      68                                \fpj.121
004B7D7A   db      68                                程序制作:熊猫太子 联系qq:7657619
004B7D92   db      68                                登陆器被禁止运行,请联系升级.
004B7DBE   db      68                                \fpjts111111111s
004B7E3E   db      68                                \fpjts111111111s
004B7E73   db      68                                1s
004B7E7F   db      68                                1s
004B7F1A   db      68                                \fpj.121
004B7F99   db      68                                \fpjts111111111s
004B8018   db      68                                \fpj.121
004B808B   db      68                                \fpjts111111111s
004B8108   db      68                                \fpj.121
004B8187   db      68                                \fpjts111111111s
004B8206   db      68                                \fpj.121
004B8279   db      68                                \fpjts111111111s
004B831C   push    0041E8BE                          \fpj.121
004B839B   push    0041E8C7                          \fpjts111111111s
004B841A   push    0041E8BE                          \fpj.121
004B84E1   db      68                                \fpj.121
004B8560   db      68                                \fpjts111111111s
004B8627   db      68                                \fpjts111111111s
004B86A6   db      68                                \fpj.121
004B8734   db      68                                \fpjts111111111s
004B8769   db      68                                1111s
004B8775   db      68                                1s
004B87B3   db      68                                1
004B881D   db      68                                \fpj.121
004B889C   db      68                                \fpjts111111111s
004B891B   db      68                                \fpj.121
004B898E   db      68                                \fpjts111111111s
004B8A05   db      68                                登陆器已过期,请升级最新版本.
004B8A3B   db      68                                \fpj.121
004B8BEB   db      68                                程序制作:熊猫太子 联系qq:7657619
004B8C03   db      68                                登陆器被禁止运行,请联系升级.
004B8C2F   db      68                                \fpjts111111111s
004B8CAF   db      68                                \fpjts111111111s
004B8CE4   db      68                                1s
004B8CF0   db      68                                1s
004B8D8B   db      68                                \fpj.121
004B8E0A   db      68                                \fpjts111111111s
004B8E89   db      68                                \fpj.121
004B8EFC   db      68                                \fpjts111111111s
004B8F79   db      68                                \fpj.121
004B8FF8   db      68                                \fpjts111111111s
004B9077   db      68                                \fpj.121
004B90EA   db      68                                \fpjts111111111s
004B9194   push    0041E925                          \xmlogo.jpg
004B922C   push    0041E931                          /xmlogo.jpg
004B93BB   db      68                                无法找到文件
004B9439   db      68                                无法找到网页
004B955F   db      68                                无法找到该页
004B95DD   db      68                                文件或目录未找到
004B97F4   ascii   "hs&A"                            1981/01/01
004B9DBB   db      68                                1
004BA08D   mov     eax, 0041E93D                     网站:www.wooolba.cn
004BA09B   mov     eax, 0041E952                     网站:www.liutao.net
004BA0A9   mov     eax, 0041E967                     联系qq:7657619
004BA0B7   mov     eax, 0041E977                     程序制作:熊猫太子
004BA0C5   mov     eax, 0041E977                     程序制作:熊猫太子
004BA0E5   mov     eax, 0041E98A                     111111-111111
004BA23B   db      68                                超速
004BA253   db      68                                请稍等片刻再点<确认注册>按钮!
004BB1FE   push    0041E9D3                          #1vvfuvhguvvfuvvfu
004BBA28   db      68                                暂停(&s)
004BBA79   db      68                                继续(&g)
004BBB5A   db      68                                /
004BBC13   push    0041E9F8                          你输入的日期格式不对请从新输入!!!
004BBD56   db      68                                年份不对,请从新输入
004BBE99   db      68                                月份不对,请从新输入
004BBFDC   db      68                                日份不对,请从新输入
004BC08D   db      68                                月份前需要加"0"
004BC13E   db      68                                日份前需要加"0"
004BC1DB   db      68                                1
004BC254   db      68                                注册成功
004BC293   db      68                                注册成功
004BC2C2   db      68                                aft
004BC35D   db      68                                帐号已存在
004BC38A   db      68                                aft
004BC3A2   db      68                                帐号已存在,请更换一个帐号重新注册.
004BC411   db      68                                aft
004BC429   db      68                                获取网关密码失败,或者服务器id库已损坏,所以无法注册.
004BC4BD   db      68                                注册成功
004BC4EC   db      68                                m5
004BC5A5   db      68                                已被注册
004BC5D4   db      68                                m5
004BC631   db      68                                m5
004BC649   db      68                                帐号包含非法字符
004BC684   push    0041EB1B                          #vvfuvbesvvfuvvfu!
004BC6FE   mov     eax, 0041EA96                     注册成功
004BC714   push    0041EB2E                          #vvfuvaesvvfuvvfu!
004BC78E   mov     eax, 0041EA9F                     帐号已存在
004BC7BD   push    0041EB1B                          #vvfuvbesvvfuvvfu!
004BC84D   push    0041EB2E                          #vvfuvaesvvfuvvfu!
004BC8DD   push    0041EB41                          #@?o@?aeovvfuvvfu!
004BC9A4   db      B8                                abcdefghijklmnopqrstuvwxyz
004BCA95   db      68                                :\
004BCCAA   push    0041262E                          \
004BCCE2   push    0041262E                          \
004BCD18   push    0041EB72                          data\mmap\000\00001.mmp
004BCDAF   push    0041EB8A                          ”,是否确认?
004BCDB9   push    0041EB99                          找到目录“
004BCDD5   push    0041EBA4                          智能搜索
004BCED9   push    0041EBAD                          正在搜索:
004BCFCC   push    0041262E                          \
004BD004   push    0041262E                          \
004BD063   push    0041262E                          \
004BD23C   push    0041EBB7                          *.*
004BD2ED   push    0041E6DC                          .
004BD39B   push    0041EBAD                          正在搜索:
004BD4F6   db      68                                搜索完毕,在您的计算机上未发现传奇世界客户端!

怀疑这一段有问题.
004B4EAB   db      B8                                ~zz)m{bza)maiva)d{}z~va)x{mzi)${hz8)$ayzi)m{ivz)0{rv?&m{0zz)
004B4ECA   db      B8                                ua%v3&1se{jzy)_n#of>dh6uc*i9kjrqlgytc8pht5v?i~m$x:rzab}md(w@g0

随把因为有jzy这个字眼.
随把这些数据,全部窗口跟随.全部改成.000
程序跑起来.
开变速齿轮.程序照杀...........进程?
试问,怎么会没有GearNt.exe这个字眼呢.怎么会没有
变速齿轮这个字眼呢?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (16)
雪    币: 101
活跃值: (12)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
2
人家会加密嘛。 就算没加密,  如果不是放到数据资源节, od一样找不到。
在说呢, 不一定就要检测到变速齿轮。 比如说,
齿轮hook了timegettime函数, 被他检测到了。 照样退。

你把齿轮的名字换个看看?
2007-2-7 17:35
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
呵呵,说的也是啊.不过把名字改了还是一样的.杀.
呵呵,想不出来别的什么方法了.
2007-2-7 17:45
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
4
顺便把WNDCLASS也换了,或者会好一点,也把文件名改一改
2007-2-7 17:46
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
................他不但检测这个程序的名字.还检测他们调用的DLL.比如说.为副齿轮就有.Hook.dll他也会检测到.但如果.要改wndclass但有一个外挂他很牛X的.加的壳是.aspr2.0 注册版的.搞不定.
2007-2-8 08:18
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
6
把DLL的名字也改了
然后把输入表和代码改一改
加壳没问题的,只要你的OD能跑起来就可以了
能分析代码就能做内存补丁
论坛好象有如何过ASPR的内存校验做内存补丁的文章,你找找看
2007-2-8 08:53
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
...........还不如笨笨雄,把上面的分析一下.如果让他断在加载那些特征库的时候再来修改特征库.就OK了.可是今天又跟了好久还是没有跟出什么明堂.....
2007-2-8 13:16
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
8
我自己也在艰苦的学习中。。。
这些应用方面的,等我学成归来再说

有的东西要靠自己领悟的。很少人会说

就象PE文件

说明看得挺多的,真的自己做起来就很难了

不知道是不是我没有细看别人的教程还是别人根本就没说过

今天才知道节的内存大小总和要跟镜象大小相等
文件大小要大于或等于节的源大小总和

否则PE文件不可用。

光这个我就搞了几小时了
2007-2-8 15:40
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
我刚刚试了试他关闭窗口的。的API函数一样没有用。什么天理哦。
2007-2-8 21:41
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
10
关闭窗口有太多技巧,最近分析病毒至少看到4种
你知道多少种?
其实扩展起来还有更多的方法
2007-2-8 22:32
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
哓,试了,findwindowstext findfistwindow等等关才窗口的函数.没有办法.再次宣告失败.
2007-2-9 12:57
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
12
SENDMESSAGE。。。
还有SHELLEXEC
WINEXEC。。。
还有很多很多。。
例如线程注入,然后调用EXITPROCESS或者SETTHREADCONTEXT设置EIP到系统保护区域,用调试API,等等~~
2007-2-9 18:44
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
笨笨雄分析一下啊,到底是用了什么方法.让我们学习一下啊.昨天又试了你说的那个几函数一个头两个大.
2007-2-10 08:27
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
14
ToolHelp+TerminateProcess

我还以为这个程序用来什么特别的技术

居然是这个。半个月来分析的病毒,用于关闭杀毒软件的API组合,都忘记看过多少次了

楼主你还是补充一下相关编程知识再动手破解吧
2007-2-10 16:58
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
我猜想ToolHelp的函数就可以得到想要的进程的名字,GetProcessID, GetThreadID
然后就是用.TerminateProcess
废话不说.,直接载入程序.
F9跑起来.然后点登录游戏.断是断下来了可是断的不是地主.后面弹出服务器没有选择,知道是断错地方了..要怎么才呢断在他关闭的进程的那个地方?
2007-2-10 17:36
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
我这个不能沉的.
2007-2-11 15:02
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
我实在是没有办法了.
2007-2-12 16:42
0
游客
登录 | 注册 方可回帖
返回
//