带网络验证的程序的破解技术解析

1、带网络验证的程序的破解技术 文件夹内有几个文件 ，分别是 main.dat,start.exeOD 加载 start.exe 退出 ,弹出软件窗口 ，0D 下断 CreateProcesS 发现其翻开的是 main.dat 用 UE 查看 main.dat 原来是个可执行文件被改名了， 于是改名为 main.exePE 查壳 ASPack 2.12 -> Alexey Solodov nikov直接 cooldumper 搞定开始分析点击登录,出现MessageboxW 未注册用户,窃喜,bp MessageBoxW.果断断住 ，看堆栈调用情况0013F550 0065A066 /CAL

2、L 到 MessageBoxW0013F554 007802CC |hOw ner = 007802CC 巴国哈哈1.17',class='TLogi nF orm',pare nt=018803B20013F558 00C6F33C |Text = "?,B4,"",D7,"",A2,"",B2,"嵊?,BB,"? 0013F55C00C76544 |Title = ""D7,"",A2," 意"0013F560 000

3、00000 Style = MB_OK|MB_APPLMODAL0013F564 0013F93C 指向下一个 SEH 记录的指针0013F568 00546D1F SE 处理程序0013F56C 0013F5F80013F570 0013F7980013F574 0044E700 dumped_.0044E700 0013F578 00BC67C0 ASCII "pkD"0013F57C 000000000013F580 000000000013F584 000000000013F588 000000000013F58C 000000000013F590 00000000

4、0013F594 000000000013F598 000000000013F59C 000000000013F5A0 00C6F33C ASCII "*g 鑜孮 (u7b"0013F5A4 00C765440013F5A8 000000000013F5AC 000000000013F5B0 00C8AA7C UNICODE "d00b-207dcdd2"0013F5B4 00C8AA1C UNICODE "D00B-207DCDD2"0013F5B8 00C8AA4C UNICODE "d00b-207dcdd2"

5、; 0013F5BC 00C8EC14 UNICODE "D:sg117script"0013F5C0 00000000 0013F5C4 000000000013F5C8 000000000013F5CC 000000000013F5D0 00CA581C UNICODE "D:sg117upup.exe"0013F5D4 000000000013F5D8 00CA57E4 UNICODE "D:sg117start.exe"0013F5DC 00C8EC14 UNICODE "D:sg117script"001

6、3F5E0 000000000013F5E4 00CA5774 UNICODE "D:sg117updata.exe"0013F5E8 000000000013F5EC 000000000013F5F0 00C8A9EC UNICODE "D00B-207DCDD2"看到最后面几行有 D00b 什么的，是软件上提示的机器码。 其他没什么营养 ，先 放 住不管。可能我才疏学浅 ，认为这种外挂一定是网络验证的 ，所以也没去深究这个 D00B 什 么的 ，既然 MessageBox 没看出什么端倪 ，换方法。bp send, bp recv 全 部打好断点点击

7、登录。断下在 bp send 看发包 data 是明文 ，如下0013F2A8 |00C214F8 ASCII "GETHttp:/88:8000/wglogi n/wglogi n. asp?id=9D1669ADA23091A6F45 4E45991E4EB2258E2B2DF5B591B9EA8330EFCB1E3BCF8E6CA50C8AA1E6B98F7 A78CB1 449ADBF6DC2C2DECE8F09C85&port=8020 HTTP/1.1",CR 丄 F,"Host:88"

8、,CR,LF,"Connection: Ke".好长的一段串啊 ， 不管它查下堆栈很容易发现它的组包过程。几个 Unicode 串摆在堆栈里面 ，是由之前的 D00B-207DCDD2+ 我硬盘号 +我MAC 地址+个时间数 ，然后看长度好似将这些参数组合进行了一次SHA 运算 ，得出的这个串 .当然这只是猜测 ，我认为没必要去跟组包的算法。毕竟网络验证都是通过 回包 的信息进行各种跳 ， 各种逻辑的。直接 F9 跑到 recv 这里看看 ， 收包明文 ，如下0013F274 |0110A048 ASCII "HTTP/1.1 200 OK",CR 丄

9、F,"Co nn ectio n:keep-alive",CR 丄 F,"Content-Type: text/html",CR,LF,"Content-Length:20",CR, LF,"Server: In dy/9.00.10",CR,LF,CR, LF,"REG:AAEDGWE29AB8C" 恩效劳器回来的包很短 REG:AAEDGWE29AB8C分析一下发包的包值吧 ， 每次发包相同值都是9D1669ADA23091A6F454E45991E4EB2258E2B2DF5B591B不同

10、点的地方在于后面 ，如果我每次把不同的值记录下来 ，发一样的 ，效劳器是否 会给我回一样的包呢 ， 测试一下。使用一次截获的包进行测试 F7A78CB1449ADBF6DC2C2DECE8F09C85013F2A8 |00C214F8 ASCII "GETHttp:/88:8000/wglogi n/wglogi n. asp?id=9D1669ADA23091A6F45 4E45991E4EB2258E2B2DF5B591B9EA8330EFCB1E3BCF8E6CA50C8AA1E6B98F7 A78CB1 449ADBF6DC2C2DECE8F09C85

11、&port=8020 HTTP/1.1",CR丄 F,"Host:88",CR,LF,"Connection: Ke".效劳器回的结果两次完全一致0013F274 |0110A048 ASCII "HTTP/1.1 200 OK",CR 丄 F,"Co nn ectio n:keep-alive",CR 丄 F,"Content-Type: text/html",CR,LF,"Content-Length:20",CR, LF,&qu

12、ot;Server: In dy/9.00.10",CR,LF,CR, LF,"REG:AAED1FAE8829AB8C"0013F274 |0110A048 ASCII "HTTP/1.1 200 OK",CR ,L F,"Co nn ectio n:keep-alive",CR,LF,"Content-Type: text/html",CR,LF,"Content-Length:20",CR, LF,"Server: In dy/9.00.10",CR,LF,C

13、R, LF,"REG:AAED1FAE8829AB8C"由此断定 ,效劳器那边并没有随机算法。客户端和效劳器端只有一方进行了随 机处理 ，外挂并没有做双面的随机同步。那么请各位大牛帮小弟分析一下这样做是否可行 ？hook 其 Send Api ，修改验证效劳器地址 ， 改写为本地购置一个正版 KEY, 截获正确的发包收包的数据 ，记录然后每次 hook Send 将包重组 ， 发给本地效劳器 ，本地效劳器返回刚刚截获到的正确回包值 ， 是否就可以破解追到了一个地方 ，那个地方将 Reg 后面的值 push 进去 ，但是在里面没进行什么操 作 就 ret 了。不知道是不是关键点00426FB5 85C0 test eax, eax00426FB7 74 05 je short 00426FBE00426FB9 83E8 04 sub eax, 400426FBC 8B00 mov eax, dword ptr eax00426FBE 8BD8 mov ebx, eax00426FC0 85DB test ebx, ebx00426FC2 74 16 je short 00426FDA00426FC4 8BCB mov ec