找回密码
 立即注册

QQ登录

只需一步,快速开始

1401软件论坛总版规【新人必看】如何正确发布收费帖子加入vip系统学习仅需498元免费获得1401软件安全论坛vip开通本站VIP会员请联系QQ 564853771
论坛纪念优盘Beyond EXE超强加密器V1.61401论坛破解工具包 2017-9-12[破解班vip]入门篇[破解班vip]基础篇
[破解班vip]脱壳篇[破解班vip]实战篇[破解班vip]网络验证篇[破解班vip]零基础HOOK教程[破解班vip]零基础易语言入门
[破解班vip]零基础c语言入门[破解班vip]零基础Delphi编程入门[破解班vip]寒假培训课程共7课[破解班vip]破解提高篇[破解班vip]易语言培训课程
[破解班vip]核心技术培训篇[破解班vip]pe格式与pe操作[破解班vip]2022全新封包-山寨-爆破全系列[原创课程]c++单文档框架课程[逆向班vip]汇编语句与反汇编基础
[逆向班vip]全自动扫雷辅助[逆向班vip]手机模拟按键[逆向班vip]植物大战僵尸辅助广告位招租...付费破解软件 +Q 564853771
查看: 33911|回复: 6

E盾破解有多难!换一下思路=破解(图文教程)

[复制链接]
  • TA的每日心情
    奋斗
    2019-12-9 15:37
  • 签到天数: 44 天

    [LV.5]常住居民I

    11

    主题

    91

    回帖

    196

    积分

    终身vip会员

    UID
    9295
    元宝
    279
    威望
    60
    贡献
    3
    信誉值
    0
    精华
    0
    在线时间
    19 小时
    注册时间
    2017-10-31
    最后登录
    2019-12-9
    违规
    0
    积分
    196

    破解班vip

    发表于 2017-11-14 12:52:02 | 显示全部楼层 |阅读模式
    Ȧ
    链接:http://pan.baidu.com/s/1o8R1IyQ 密码:avq1
    今天给大家来一个e盾的教程.
    这个E盾应该是被vm优化过的,连头部的vm标记都没了.
    (所以从源码里抓特征什么都抓不到)

    E盾的大概流程就是(先看下文字流程)
    --要先过检测,这个软件大概两个检测点,登录的时候还有一个.
    {
            1:遍历有菜单的窗口(GetMenu),像OD什么的,然后GetWindowTextA 获取名字,拿到调试什么的字符串,就GG了
            2:枚举系统模块.也就是系统加载的驱动,OD如果有StrongOD这个插件,启动的时候会加载驱动,这样就也被检测出来了.
    }
    下面是大概的登录流程(先把检测去了)
    1:验证_卡登录 (编辑框1.内容, 验证结果)
    2:验证_合法性检测 ()
    3:进入窗口后的 验证_调用远程JS()

    过检测:
            1:GetMenu下断,F9 看返回地址,软件有个皮肤的内存dll ,不用管.一直F9直到返回地址是软件领空.这时执行到返回,找函数尾部,看它返回到哪
            .0012FCE0   00EC5868  暴风影音.00EC5868
            发现返回到vm的地方了,那么可以推断这个就是一个检测call, eax 为 1 说明找到调试器.可以到段首ret .因为函数默认进来eax我发现一直是0 ,就不用mov eax,0了.这时如果F9软件会GG,还有第二个检测点.
            2:这时去易语言特征 FF25 处,找到jmp eax(这个属于如果调用API都要经过这里),下断F9.
            0012FC3C   00412E31  /CALL 到 ZwQuerySystemInformation 来自 暴风影音.00412E2C
            0012FC40   0000000B  |InfoType = SystemModuleInfo
            0012FC44   00000000  |Buffer = NULL
            0012FC48   00000000  |Bufsize = 0x0
            0012FC4C   0012FC78  \pReqsize = 0012FC78
            发现调用了这么个api, 查询系统信息 InfoType = SystemModuleInfo,信息类型 系统模块信息也就是驱动信息.返回到用户代码.到段尾看返回地址,发现这里代码并没有VM,说明还没到关键点,继续找返回.
            0012FCD8   009507F8  暴风影音.009507F8
            返回地址是vm的地方,而且看 eax 的值为1 说明找到指定名字驱动了,跟上面处理方法一样.
            找到段首ret, 或者返回值改 0.
           
            我觉得最好还是段首ret 好点,因为后面点登陆的时候还会检测一次,但是如果断下的话,软件自身有个时间检测,你一断下,超时了,软件就会死循环.
            看见没,软件卡死了,刚才就算我瞬间F9也没办法。从新载入.eax默认0 所以不用 mov eax,0
            下面该过登陆了.

    验证_卡登录 (编辑框1.内容, 验证结果)
    首先看下软件,在点击登录的时候界面会卡死,说明是单线程发包收包.那么可以借用 send 这个API 堆栈回溯.看到刚才输入的注册卡了,说明返回call 就在附近.
    0012F434  |00597880  返回到 暴风影音.00597880
    这个看下,返回地址正好是 按钮返回地址.那么往前找
    0012F40C   00D35AA1  暴风影音.00D35AA1
    可以编译个E盾的源码看下大概验证流程,就知道 这个返回地址就是源码里
    对应的返回地址.可以对照下参数.每间隔一个有个1.看下vm的那里.
    0012F410   0012F424
    0012F414   00000001
    0012F418   0012F428
    0012F41C   00000001
    正好一样,第一个是注册码,第二个是返回结果.下断F9.源码里会比较函数返回结果,结果 也就是eax 为真,才会继续走.

    接下来是
    验证_合法性检测 ()
    这个函数无参数无返回值,很难定位.所以需在源码里看它会调用哪些call, 步步跟进.进第一个call 看下.发现间接call ebx,像这种属于易语言独有的特征,是不会被vm的.发现正好两个 对应这边的上下两个.下断F9.返回.发现这里到vm区域了,其实就是对应的
    0041AC77  |.  83C4 10       add esp,0x10
    这边的 call 结束.但是我们无法找到段首 是没办法 ret 过检测的,所以这里可以取巧下.堆栈大家都知道,esp 指向栈顶, ebp 里面指向上层的栈底.就算是vm执行完函数也要遵守这个原则.看下 esp ebp,
    0012F418   0012F430
    0012F41C   00B92BE6  暴风影音.00B92BE6
    ebp 指向0012F418 那么下面毫无疑问返回地址了.可以这样构造,看我操作.
    00B2495E    8BE5            mov esp,ebp
    00B24960    5D              pop ebp
    00B24961    C3              retn
    00B24962    90              nop
    可以看到这就是一般函数的返回操作,这样代码就走不到下面的检测了.返回后就等于
    验证_合法性检测 () 被强制返回了.接着 载入 (窗口1, , 真)

    易语言接着会调用
    _窗口1_创建完毕
    FF55FC5F5E 易语言按钮事件就可以断下来.下断F9.触发窗口创建函数了.

    进入窗口后的 验证_调用远程JS()
    发现这里一进入函数 代码就vm了,我猜 作者一般都不会修改那段置入的代码,那么随机数都是在局部变量1, 局部变量2, 局部变量3, 局部变量4,
    注意,这里需要一些局部变量,函数的一些知识. 局部变量在 ebp -4 开始的位置,
    ebp+4 是返回地址.
    0012F1D4   00597880  返回到 暴风影音.00597880
    算是返回地址,那么加8就是 局部变量1
    0012F1D0 是ebp上层的栈环境,
    0012F1CC 局部变量1
    0012F1C8 局部变量2
    0012F1C4 局部变量3
    0012F1C0 局部变量4
    需要硬件写入断点,看它什么时候写入随机数.把调试寄存器打开.下完断最好先单步下.看到刚刚的硬断显示出来了,F9。注意大概3次需要单步两下,不然很容易跑飞. F7单步两下.看DR1 数字变了再变成0时才可以继续F9,应该是se 的干扰 硬件断点.可以继续F9,同时注意看数字变化, 这些都不像是一个随机出来的整数.因为按那段置入的代码来看,就是D0 到C0依次赋值,所以 0012F1C0 到 0012F1CC 的4个数字都会很相似. F7 单步几下,让DR1 变.可以F9 3下.后面就是重复了,就是注意看数字变化.刚才的要单步好几次 DR1才变的 所以随机应变了.这里大概要F7到jmp 才能F9 不然直接飞.
    看数字,全部清零了. 这是准备写入随机数了, 还有看 12F1D0 已经被写入上层的 栈环境了.
    F9 一下.还是0 继续.
    4A 16 00 00
    E1 17 00 00
    0F 1C 00 00
    3C 1C 00 00
    四个四字节整数, 很明显就是随机出来的.尝试下改成 666(29A),接下来会
    “登录成功运算,” + 到文本 (a) + “,” + 到文本 (b) + “,” + 到文本 (c) + “,” + 到文本 (d)
    拼接字符串.
    看下易语言拼接字符串特征
    558BEC8BC140C1E0022BE0
    这是易语言的拼接字符串特征.
    两个都下断, F9
    0012F16C   006BF447  暴风影音.006BF447
    0012F170   00225918  ASCII "666"
    0012F174   006B73CC  暴风影音.006B73CC
    0012F178   0024DE28  ASCII "666"
    0012F17C   006B73CC  暴风影音.006B73CC
    0012F180   00245C60  ASCII "666"
    0012F184   006B73CC  暴风影音.006B73CC
    0012F188   00247188  ASCII "666"
    看到没有,全部都是我刚刚改的数字.
    看下堆栈.这是拼接好就准备发送了. 随机数固定就这样.
    两次同时赋值操作刚刚都是断在一条指令上,大概算是VM的特征?
    0040F154    9C              pushfd
    0040F155    36:8910         mov dword ptr ss:[eax],edx
    打补丁就是 判断下eax 如果是要操作的 就自己补一个.这个软件我也没有正版号,下面的我就不演示了. 学的基本上都是方法,  就拿一些易语言的特征, 很容易定位的.

    教程就到这里,谢谢大家

    补丁方式就是
    两个侦测点
    0040E1B1
    retn
    0041169F
    retn

    登录call返回值
    00D35AA1
    pushad
    跳到别的空白 eax 补个1就行

    二次校验call
    00B2495E
    mov esp,ebp
    pop ebp
    retn
    nop
    没什么特征码可言. 只能手动定位.

    创建载入完毕
    0053F05B
    jmp 暴风影音.00CEC7AC
    通过这里一步一步跟踪到 局部变量赋值的地方.

    0040F154    9C              pushfd
    0040F155    36:8910         mov dword ptr ss:[eax],edx
    就是这里,判断方法很多种.来的次数也很多.反正自行领悟把.

  • TA的每日心情
    奋斗
    2019-12-9 15:37
  • 签到天数: 44 天

    [LV.5]常住居民I

    11

    主题

    91

    回帖

    196

    积分

    终身vip会员

    UID
    9295
    元宝
    279
    威望
    60
    贡献
    3
    信誉值
    0
    精华
    0
    在线时间
    19 小时
    注册时间
    2017-10-31
    最后登录
    2019-12-9
    违规
    0
    积分
    196

    破解班vip

     楼主| 发表于 2017-11-14 13:12:51 | 显示全部楼层
    此帖仅作者可见

    使用道具 举报

  • TA的每日心情

    2018-11-26 21:31
  • 签到天数: 44 天

    [LV.5]常住居民I

    1

    主题

    90

    回帖

    125

    积分

    白衣秀士

    UID
    10274
    元宝
    133
    威望
    47
    贡献
    0
    信誉值
    0
    精华
    0
    在线时间
    18 小时
    注册时间
    2018-7-18
    最后登录
    2018-11-26
    违规
    0
    积分
    125
    发表于 2018-8-3 22:21:03 | 显示全部楼层
    此帖仅作者可见

    使用道具 举报

  • TA的每日心情
    擦汗
    2019-3-1 17:34
  • 签到天数: 8 天

    [LV.3]偶尔看看II

    0

    主题

    22

    回帖

    25

    积分

    人在旅途

    UID
    10305
    元宝
    25
    威望
    8
    贡献
    0
    信誉值
    0
    精华
    0
    在线时间
    3 小时
    注册时间
    2018-7-29
    最后登录
    2019-3-1
    违规
    0
    积分
    25
    发表于 2018-8-8 02:58:38 | 显示全部楼层
    此帖仅作者可见

    使用道具 举报

  • TA的每日心情
    开心
    2023-11-26 11:59
  • 签到天数: 28 天

    [LV.4]偶尔看看III

    1

    主题

    91

    回帖

    109

    积分

    终身vip会员

    UID
    10387
    元宝
    146
    威望
    29
    贡献
    1
    信誉值
    0
    精华
    0
    在线时间
    8 小时
    注册时间
    2018-8-30
    最后登录
    2023-11-26
    违规
    0
    积分
    109

    破解班vip

    发表于 2018-8-31 13:22:36 来自手机 | 显示全部楼层
    此帖仅作者可见

    使用道具 举报

  • TA的每日心情
    开心
    2023-11-26 11:59
  • 签到天数: 28 天

    [LV.4]偶尔看看III

    1

    主题

    91

    回帖

    109

    积分

    终身vip会员

    UID
    10387
    元宝
    146
    威望
    29
    贡献
    1
    信誉值
    0
    精华
    0
    在线时间
    8 小时
    注册时间
    2018-8-30
    最后登录
    2023-11-26
    违规
    0
    积分
    109

    破解班vip

    发表于 2018-8-31 13:23:09 来自手机 | 显示全部楼层
    此帖仅作者可见

    使用道具 举报

  • TA的每日心情
    开心
    2022-4-1 10:15
  • 签到天数: 37 天

    [LV.5]常住居民I

    0

    主题

    76

    回帖

    130

    积分

    终身vip会员

    UID
    10821
    元宝
    234
    威望
    42
    贡献
    0
    信誉值
    0
    精华
    0
    在线时间
    18 小时
    注册时间
    2019-4-5
    最后登录
    2022-4-1
    违规
    0
    积分
    130

    破解班vip

    发表于 2019-4-9 20:25:09 | 显示全部楼层
    此帖仅作者可见

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    QQ|Archiver|手机版|小黑屋|1401软件安全 ( ICP备16034480号 )

    GMT+8, 2024-11-21 20:14 , Processed in 0.177989 second(s), 24 queries , Gzip On.

    Powered by Discuz! X3.5

    Copyright © 2001-2020, Tencent Cloud.

    快速回复 返回顶部 返回列表