hello 大家好,我又回来了,很久没有发帖了,因为这些日子跑北京去了,21号看雪在北京国家会议中心有个峰会嘛 他说有个什么自动逆向机器人,好奇就跑去看一看呗~进入今天的正题,我们开始了解一下E盾!
首先E盾呢,其实这个网络验证辅助,你说它强,其实它也就那样,说它没啥用,但是也挺牛逼的,然后现在能找到的E盾教程,都是有个人版的,企业版的没人公布,就算有人发出来,E盾的开发中估计也会秒杀掉,禁止发,毕竟企业版8000块一个网络验证呢,其实E盾的时代已经过去了,以前还有什么飘零,什么咳咳,什么什么的,现在听说最牛逼的是一个加了网络验证的叫.mopo的一个网络验证,听说挺牛的,我只听说过飘云阁的某个大佬能完全脱掉这个壳,至于方法,hhh人家肯定不可能公布出来,废话不多说,开始今天的正题~
E盾的大概流程就是 登陆、合法、算法、暗装~
--要先过检测,这个软件大概两个检测点,登录的时候还有一个.
{
1:遍历有菜单的窗口(GetMenu),像OD什么的,然后GetWindowTextA 获取名字,拿到调试什么的字符串,就GG了
2:枚举系统模块.也就是系统加载的驱动,OD如果有StrongOD这个插件,启动的时候会加载驱动,这样就也被检测出来了.
}
下面是大概的登录流程(先把检测去了)
1:验证_卡登录 (编辑框1.内容, 验证结果)
2:验证_合法性检测 ()
3:进入窗口后的 验证_调用远程JS()
1.PEID查壳,看看区段和壳的类型,然后载入OD。
可以看到,有个VMP的区段,除去人为改动,如果没有人为的改动的话可以看到,这个应该是加了VMP保护,但是为什么查壳查不到呢,可能是保护了易语言的特定代码段,对特定代码段进行了保护。
还是一个Push 看来作者并没有对OEP进行保护~
复习:push 压栈 把ebp压入栈中~C语言的源码大概就相当于
int main()
{
}
相当于这样,一个程序的入口。
2.搜索push 10001(为什么对E盾的也要这么做呢 慢慢看)
把这个Push 0x520273FC记住
然后搜索FF 25易语言体~
把这个push 0x52010001换成push 0x520273FC。
有了解的朋友现在就知道,直接保存出去 他会提示请调用验证函数,这是E盾的老套路了,这个我只知道个人版有,企业版没遇到过,毕竟没有一个作者真会去花8000买个验证hhh。接下来就是一步一步攻破E盾的防线~
3.合法性检测
ctrl+s搜索sub esp,84
找到断首修改为
然后查找sub esp,98还是一样来到断首~
修改成:
4.暗装
ctrl+f搜索 push 60修改为 retn 找到断首,修改为:
retn=return(返回)
5.自校验
他有个监测时候被破解或者被杀软查杀,上面那个JNZ改成JMP即可(JNZ指令:Z标志位=0时跳转,Z=1则不跳转 JMP:这个就简单了,跳必须跳,不进行判断直接跳转哦~这个就简单粗暴了)
然后保存即可~
选择路径就行~
如果喜欢此帖子请点赞评论打赏~
写帖不易,欢迎打赏~
我是CatGames ~ 网站CatGames.cn
免费的XSS平台CatGames.cn/xss/admin.php
祝掌控安全越来越强~
此次教程说的原理比较少,因为原理很多,我放在了附件,想了解原理的,下载即可~
解压密码:zkaq.org
打赏我,让我更有动力~
E盾原理.rar File Size:0.004M (Download Count:5) Price:1
6.5.2-SQL注入-Header注入Rank 2.pdf.zip File Size:0.269M (Download Count:1)
6.5.1-SQL注入-Header注入Rank 1.pdf.zip File Size:0.305M (Download Count:5)
6.5.3-SQL注入-Header注入Rank 3.pdf.zip File Size:0.379M (Download Count:1)
© 2016 - 2022 掌控者 All Rights Reserved.
catgames
发表于 2018-7-19
原理都在附件 要的自己下载
评论列表
加载数据中...