用条件断点寻找E盾的登录、合法、算法和取服务器数据CALL

最新推荐文章于 2020-12-19 15:52:24 发布
最新推荐文章于 2020-12-19 15:52:24 发布
阅读量2k 收藏 3
点赞数 4

先科普一下一个API函数HeapAlloc,在指定的堆上分配内存

所以登录、合法、算法或取服务器数据CALL里面都要经过这里
FF25:

FF25的跳转到的地方

因此我们在FF25那里(图中选中的那一行)下条件断点(OD里条件断点是粉色的)
设置条件断点的方法:在要设置条件断点的地址 Shift+F2 或者 右键→断点→条件

下面具体说下怎么来写这个条件断点,进入正题

登录:

先分析登录CALL汇编代码

0041461F push ebp
00414620 mov ebp,esp
00414622 sub esp,0x144
00414628 mov dword ptr ss:[ebp-0x4],0x0
0041462F mov dword ptr ss:[ebp-0x8],0x0
00414636 mov dword ptr ss:[ebp-0xC],0x0
0041463D mov dword ptr ss:[ebp-0x10],0x0
00414644 mov dword ptr ss:[ebp-0x14],0x0
0041464B mov dword ptr ss:[ebp-0x18],0x0
00414652 mov dword ptr ss:[ebp-0x1C],0x0
00414659 mov dword ptr ss:[ebp-0x20],0x0
00414660 mov dword ptr ss:[ebp-0x24],0x0
00414667 push 0x20 这里占用一个地址(4字节)的堆栈空间
0041466C call 0045BD2E 这个CALL就是上面说的内存分配CALL
00414671 add esp,0x4 这里 ESP+4 是还原到原来的144个堆栈空间

我们以前找的特征码主要是这2个,一个是sub esp,0x144;另外一个是push 0x20

所以我们就对这2个特征设置条件断点,下面对条件断点构造进行分析

sub esp,0x144:EBP指向栈底,ESP指向栈顶,而144就是堆栈容量(不包括ESP和EBP占的4字节内存地址),条件断点是:EBP-ESP-4-4==144

不太明白的话举个例子解释下这个条件断点,比如:

值: a、 b、c、d、e、f、 g、h

位置:1(ESP)、2、3、4、5、6、7、8(EBP)

问a和h之间有几个,答案是:8(EBP)-1(ESP)-1=6

现在我们在这之间插入一个值m (也就是汇编代码PUSH 20)

值: a、 b、m、 c、 d、e、 f、g、h
位置:1(ESP)、2、3(PUSH 20)、4、5、6、7、8、9(EBP)

问在没插入m之前a和h之间有几个,答案是:9(EBP)-1(ESP)-1-1=6

所以最后的条件断点是:EBP-ESP-4-4== 144,整理一下:EBP-ESP-8==144(这里都是16进制的计算)

PUSH 20 :这个条件断点就相对很简单了,这个就在ESP+4的地方,所以条件断点是:[ESP+4]==20,方括号代表指针,是[ESP+4]这个地址指向的值,而不是ESP+4这个地址。

OD里面的 等号"=" 要写成 两个等号 “==”,如果对条件断点不熟悉的话可以,自己查找相关资料看看。

多条件的话用两个"&&"进行连接,比如:EBP-ESP-4-4==144&&[ESP+4]==20

这里可以再加一个条件就是判断这个地址:mov dword ptr ss:[ebp-0x24],0x0 三个条件确保唯一,其实前面2个基本上就唯一了

一般设置前2个条件即可,第三个条件可以在堆栈右键-EBP,向上找会看到EBP上面有一排00000000的话肯定就是要找的CALL.

条件断点:EBP-ESP-4-4==144&&[ESP+4]==20&&[EBP-24]==0

修改方法:

在堆栈顶返回地址进行如下修改
mov eax,0x1
mov esp,ebp
pop ebp
ret

合法、算法和取服务器数据设置方法同上

2、合法:EBP-ESP-4-4==84&&[ESP+4]==8&&[EBP-18]==0

修改方法:

在堆栈顶返回地址进行如下修改
mov esp,ebp
pop ebp
leave
ret

3、算法和取服务器数据:EBP-ESP-4-4==98&&[ESP+4]==8&&[EBP-48]==0

修改方法:

这里其实可以不用修改,无法获取数据和计算结果,返回结果是空;

有正版数据的话,可以在这里补正版数据

在堆栈顶返回地址进行如下修改

mov eax,正版数据地址
mov esp,ebp
pop ebpleave
ret

算法和数据这里最好用 ret,而是不是 leave ret,因为断下的是这个CALL的第一层

用leave ret 的话很可能直接就返回按钮事件去了,导致后面的代码执行不了,可能会出错。

以上纯属个人见解,有不正确的地方欢迎指正!!

HouLeong
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
E盾特征码工具
01-12
E盾特征码工具
【登陆CALL
weixin_34128839的博客
09-05 288
【登陆CALL】!!!!!!!!!! 00574D00 50 push eax00574D01 8B86 74010000 mov eax, dword ptr [esi+174]00574D07 8B96 F0010000 mov edx, dword ptr [esi+1F0]0057...
e盾网络验证_【论文】WSN中基于流网络的K连通算法
weixin_39781186的博客
11-24 267
戳上面的蓝字关注我们哦!WSN中基于流网络的K连通算法胡洁1,詹杰1,任保全21湖南科技大学物理与电子科学学院,湖南 湘潭 4112012中国电子设备系统工程公司研究所,北京 100141摘要无线传感器网络(WSN)的连通性是保证网络容错性的重要途径。常规的多路由算法往往存在共同路径,这些共同路径会因为节点损坏、通信链路中断等故障导致整个WSN 的连通性过早失效。针对共同路径问题...
e盾服务端源码_Jetcd源码以及raft算法的分析(下)
weixin_39858124的博客
11-28 229
接着上篇我们来分析下jetcd的其他模块和raft算法如图:我们一个个看首先jetcd-common :都是公共类jetcd-examples:可以作为学习用,里边的代码都是main方法启动的,可以直接跑(看源码的以后也可以这么看—)jetcd-launcher:里边提供了一个已编程插件的方式启动etcd 服务器,核心代码如下:import org.apache.maven.plugin...
「源码」E盾网络验证_后台数据易语言源码_模块_支持库.rar
07-25
「源码」E盾网络验证_后台数据易语言源码_模块_支持库里面带了模块等很多东西可以参考缺少一些功能可以自己开发 这是一款防E盾的那种类型
计算机通信网络传输数据断点区域智能检测方法
01-12
采用标签方法检测提特征的相似度,引入近邻算法推算出数据断点区域检测的最优解,完成智能检测。通过对比试验得出,该方法的检测耗时仅是传统方法的一半,且最大召回率为12%,漏检率较低,更具优势。
Powershell脚本中使用条件断点实例
09-22
主要介绍了Powershell脚本中使用条件断点实例,本文直接给出实现代码,需要的朋友可以参考下
ASP.NET 断点续传下载服务器实现
03-15
断点续传下载是一种网络下载方式,它允许下载过程中丢失连接或停止后,重新连接时从上次下载断点的地方继续下载文件,从而节省时间和网络流量。这种方式特别适合下载大型文件或经常更新的文件,如电影、音乐、软件、...
mxnet训练自己的数据集分类,支持模型断点训练和预测单张图片.zip
最新发布
01-07
在训练之前,mxnet 建议使用 rec 输入图像数据,在早期的 mxnet 版本中,我们拥有并加载您的图像,在最近的 mxnet 更新中,它们被合并到,您可以加载格式和原始图像的图像。但是在本教程中,我们将使用 ....
E盾特征码工具.7z
11-30
E盾特征码工具.E盾特征码工具.虚拟机运行E盾特征码工具.E盾特征码工具.虚拟机运行E盾特征码工具.E盾特征码工具.虚拟机运行
E盾网络验证
08-21
帮助新手解决碰到E盾网络验证的苦恼
E盾偷后台工具源码
01-29
E盾偷后台工具源码,大家可以使用一下!
详解!网络通信、openjdk-socket源码,熬夜也要读完!
weixin_51954021的博客
11-09 1378
1.概述 最近没有写想法,但本着长时间不写会生疏的说法,还是简单写一篇技术文章。这篇主要聊聊网络方面知识,涉及面广,但是不深 a。OK,话不多说,下文主要就是先介绍网络工作原理,然后从语言层面进行具体的实现分析。希望对大家有所帮助。 2.网络现状 互联网是离不开网络的(说了句废话)。比如IM、游戏、浏览器网页等场景,都需要网络的支持。网络依赖协议,没有协议是无法进行网络传输的。因为别人并不知道你发送的是什么妖魔鬼怪。 目前用的最多的就是IP协议。传输层一般是TCP和UDP。游戏场景可能用UDP多一
e盾服务端源码_深入理解Kafka客户端之服务端响应及超时请求的处理
weixin_39950470的博客
11-18 406
一、场景分析上一篇分析了客户端如何将消息发送给服务端,当封装的请求发送出去后,有两种结果:服务端收到请求,并返回响应。响应也有两种情况:正常写入消息,返回正常的响应发生异常,返回异常的响应服务端未返回响应,直到超时针对上面的几种情况,Kafka客户端是如何处理的呢?这篇进行详细的分析。二、图示说明三、过程源码分析在之前的发送消息的流程中,当客户端和指定的节点建立网...
任鸟飞逆向分析基础教程
09-20
【课程简介】本套课程为任鸟飞课程游戏逆向分析系列的入门课程,面向所有无基础的对游戏安全,对逆向分析感兴趣的学员。课程结合了C++,汇编,反外挂等元素,让你轻松走进游戏安全的大门。 逆向思路技术随笔,请关注我的CSDN博客:https://blog.csdn.net/qq_36553941 欢迎大家来学习交流,活动折扣咨询等请在博客私聊我。 PS: 课程中工具包、源码、课件请关注第一章的第一节的随课课件,工欲望善其事,必先利其器! 【学前预备知识】仅需基础的编程与程序知识,无则参考基础篇CSDN学院链接:https://edu.csdn.net/course/detail/30509 【学员学成收获】1、游戏安全入门。2、外挂与反外挂入门。3、逆向分析入门。 
通过特征码查杀病毒.(小段c程序)
huabihan的专栏
09-14 3517
    杀毒软件最开始都是通过特征码来查杀病毒..一般的病毒都有一个特征码,通过特征码来判断属于哪一种病毒.例如,你已经获得了一个病毒样本 ,知道了病毒的一些信息,例如,文件偏移地址0x0c15,  提特征码长度:0x10(16)特征码内容:0A 73 53 41 2E 65 78 30 5C 5C 31 39 32 2E 31 36 我们现在就可以用程序来实现代码的比较了,可以简单的一段小程序
Qt写的一个多功能特征码工具
吾无法无天的博客
08-28 2644
安卓模拟器内存外挂用,一个界面很靓的工具!
lol走砍e源码_【精选】某LOL走砍E盾+VMP卡登陆解决办法
weixin_39702316的博客
12-19 1665
首先就是查壳了图1这一看是VMP壳,差点让我放出最强插件“回收站”了首先第一步进入程序领空(由于所有人都知道,我就不解释了)直接Ctrl+F搜索push 20(第一次没有搜到,就Ctrl+L查找下一个。登陆特征码)图2直接段首修改成mov eax,1 mov esp,ebp pop ebp retn如下图:图3第二步、直接Ctrl+S搜索sub esp,84(第一次没有搜到,就C...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值