• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

X86逆向15:微信群发软件的分析


Recommended Posts

前几天一个小兄弟,给了我一个微信群发软件,让我给破解一下,不过工作繁忙外加周六周日实在是躺在床上不想动,所以一直托着,今天给他解决了一下,这个程序还是蛮有意思的,不难就是一个思路的问题,想给大家分享一下思路,这个程序很简单,一分钟搞定了,但思路还是值得学习的。

免责声明:该教程仅用于技术交流,并无任何商业目的,您不得将下述内容用于商业或者非法用途,否则后果自负,如果您喜欢该程序,请支持正版软件,购买注册 ,得到更好的正版服务,如有侵权请邮件联系作者!

一开始,是登录,然后想着,断他的,字符串提示,不过会令你失望了,这个卡密字符串是无法断下的。

1379525-20201206124652607-2109176293.png

由于这是一个自绘窗体,所以基本上按钮事件无法断下,查克,会发现没东西,如果用其他版本的PEID会查出:yodas Protector v1.02 是一个伪装壳。

1379525-20201206125138687-433869116.png

由于我知道是易语言,载入后来到了,401000易语言体部分,是这样的,明显是关键位置加密了。

1379525-20201206125402023-1585930982.png

由于加密了,所以尝试使用按钮事件特征码是无效的,接着我又尝试拦截send,recv等发包收包函数,结果数据包发送接收没问题,可还是无法断下,很可能发包收包函数也是二次封装的,不排除这种可能。

于是乎,在入口处无法突破,那么,我只能找一个注册码了,多久的都行,程序加载时可能有两种方式,一种是验证通过后弹出第二个窗体,另一种则是通过dll注入的方式启动一个隐藏的dll文件。

第一种方式:破解只需要找到第二个窗体的入口,由于输入了注册码能进去,在里面找可以找到更多细节。
第二种方式:则更简单,将注入到内存的dll文件,提取出来,然后自己做一个注入器,只要目标没有验证,或者有验证,则需要手动跳过关键步骤即可。

这个程序是第二种方式,载入后输入注册码,我们打开文件列表,可以清晰的看到是加载了一个dll到内存了,但这个DLL并没有在目录下,而是直接载入了内存。

1379525-20201206130328603-337542589.png

所以,我们需要使用,脱壳修复工具,脱壳修复工具不止可以脱壳,也可以变着法的玩,直接用它转储内存文件,然后重建输入表等即可。如下

1379525-20201206130506562-1953531334.png

转储后,使用x64dbg即可动态加载,界面如下,其实算不上破解,就是一个思路。

1379525-20201206130613312-2095946991.png

由于这个dll使用VB做的,所以使用VB Decompiler 即可得到其全部的源代码。

1379525-20201206134640587-1936661261.png

最后,我们使用易语言来做一个启动器,或者直接用x64dbg拖进来,执行。

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now