黑盒分析

无源码 分析  -》  黑盒分析

飘零 3.2VIP客户端

心跳包   很多 大小为1   的包       防止程序强制关闭

封包内容 大概为：

p=xxxxxxxxxxxxxxxxxxxx

&pzdm=xxxxxxxxxx

&post=xxxxxxxxxxxx

这个大概就是飘零验证了

搜索字符串

···

不能整除与零

不能求余数与零

·····

···

下面的信息没有用  E语言支持库的字符串  没用

要看它上面的字符串

运行  后  搜索  字符串  程序进程结束

加速键 /热键/老板键  检测

下send断点    按F8   （热键）····热键检测

超线程

程序跑起来  

线程在多起来  线程开启 又 关闭

用意 检测  有没有调试它

看线程的状态

CreateThread 下断

EIP 往上建立 就可以看到 堆栈显示的标志

返回到 函数过程 暗桩线程

1）NOP掉 函数

2） NOP 代码段的  CreateThread 函数

蓝屏

看一下退出   ExitProcess CC断点   点登陆

搜索   会断下

堆栈窗口 往上推进··········   retrn xxxxxxxxxx

想知道那个CALL  调用了 退出

记录 继续分析 分析到一个CALL 时

查看右上角 OD窗口  可以看到是那个线程

如果手动跳过它退出 会蓝屏

有时候检测到  有时候检测不到

看到  有几个返回地址就可以  找到返回地址

Find references to -> selected command Ctl+R

所有来到这个地址的  过程  下断

重新载入····················

看到你有个CALL被断下

往上跟随

就这样分析·····························································

滴答检测

GetTickCount    操作系统从启动到运行的诗句

让它跑起来再  下断

走到RETN    EAX显示的值就是那个时间

时时获取时间，如果偏差不是很大就保存 再比较，再保存

偏差大的直接退出

GetTickCount

retn

就没事了   搜索字符串   和  ctrl+A   都没事了

防止他检测

上面的搞好了之后：

对CreateThread下断

登陆线程 看到系统函数

开了发包的线程（这个应该快点  要不然服务端以为断开连接了）

注册一个账号！！！！！！

登陆 线程是用  CreateRemoteThread 调用

注释比较多的话   可以添加标签  

创建了3个线程

            调用成功的回调函数就行

提取爆破   “特征码”············································································

3个回调函数

那个成功的回调函数的二进制码 就是特征码

无账号 破解

有账号就可以下断 线程创建······································································