网络验证程序的破解技术.doc

网络验证程序的破解技术 文件夹内有儿个文件，分别是main, dat, start, exe OD加载start, exe,退出，弹出软件窗U, OD下断CreateProcess,发现具打开 的是main, dat,用UE查看main, dat,原来是个可执行文件被改名了，丁?是改 名为 main. exeo PE 查売 ASPack 2. 12 - Alexey Solodovnikov 直接cool dumper搞定 开始分析 点击登录，出现MessageboxW,未注册用户，窃喜，bp MessageBoxW. 果断断住，看堆栈调用情况 0013F550 0065A066 /CALL 到 MessageBoxW 0013F554 007802CC |hOwner = 007802CC （三国哈哈 1. 17, class二TLoginForm，, parent=018803B2） 0013F558 00C6F33C |Text 二 〃？, B4, ”、D7, 〃“, A2, 〃〃, B2, 〃嗦?, BB, 〃? 0013F55C 00C76544 |Title = 〃〃D7,〃〃,A2,〃 意〃 0013F560\Style = MB_OK|MB_APPLMODAL 0013F564 0013F93C 指向下一个SEH记录的指针 0013F568 00546D1F SE处理程序 0013F56C 0013F5F8 0013F570 0013F798 0013F574 0044E700 dumped—. 0044E700 0013F578 00BC67C0 ASCII 〃pkD〃 0013F57C0013F5800013F5840013F5880013F58C0013F5900013F5940013F5980013F59C0013F5A0 00C6F33C ASCII % 鑛淙（u7b〃 0013F5A4 00C76544 0013F5A80013F5AC0013F5B0 00C8AA7C UNICODE 〃d00b-207dcdd2〃 0013F5B4 00C8AA1C UNICODE 〃D00B-207DCDD2〃 0013F5B8 00C8AA4C UNICODE 〃d00b-207dcdd2〃 0013F5BC 00C8EC14 UNICODE，zD:\sgll7\scriptV 0013F5C00013F5C40013F5C80013F5CC0013F5D0 00CA581C UNICODE D:\sgll7\upup.exe 0013F5D40013F5D8 00CA57E4 UNICODE D:\sgll7\start. exe 0013F5DC 00C8EC14 UNICODE 〃D:\sgll7\script\〃 0013F5E00013F5E4 00CA5774 UNICODE D:\sgll7\updaZ.exe 0013F5E80013F5EC0013F5F0 00C8A9EC UNICODE 〃D0013-207DCDD2〃 看到最后面儿行有DOOb什么的，是软件上提示的机器码。其他没什么营养，先 放住不管。 可能我才疏学浅，认为这种外挂一定是网络验证的，所以也没去深究这个DOOB 什么的，既然MessageBox没看出什么端倪，换方法。 bp send, bp recv全部打好断点 点击登录。断下在bp send，看发包ddls,是明文，如下 0013F2A8 |00C214F8 ASCII GET Http://60. 190. 222. 188:8000/wglogin/wglogin. asp?id=9D1669ADA23091A6F45 4E45991E4EB2258E2B2DF5B591B9EA8330EFCB1E3BCF8E6CA50C8AA1E6B98F7A78CB1 449ADBF6DC2C2DECE8F09C85port=8020 HTTP/1. 1〃，CR, LF, Host: 60. 190. 222. 188〃，CR, LF, Connection: Ke〃…? 好长的一段串啊，不管它查下堆栈很容易发现它的组包过程。 儿个Unicode串摆在堆栈里面，是由之/前的D00B-2