hello 大家好e盾網絡驗證個人版,我又回來了,很久沒有發帖了,因為這些日子跑北京去了,21號看雪在北京國家會議中心有個峰會嘛 他說有個什么自動逆向機器人,好奇就跑去看一看唄~進入今天的正題,我們開始了解一下E盾!
首先E盾呢,其實這個網絡驗證輔助,你說它強,其實它也就那樣,說它沒啥用,但是也挺牛逼的,然后現在能找到的E盾教程,都是有個人版的,企業版的沒人公布,就算有人發出來,E盾的開發中估計也會秒殺掉,禁止發,畢竟企業版8000塊一個網絡驗證呢,其實E盾的時代已經過去了,以前還有什么飄零,什么咳咳,什么什么的,現在聽說最牛逼的是一個加了網絡驗證的叫.mopo的一個網絡驗證,聽說挺牛的,我只聽說過飄云閣的某個大佬能完全脫掉這個殼,至于方法,hhh人家肯定不可能公布出來,廢話不多說,開始今天的正題~
E盾的大概流程就是登陸、合法、算法、暗裝~
--要先過檢測,這個軟件大概兩個檢測點,登錄的時候還有一個.
{
1:遍歷有菜單的窗口(),像OD什么的,然后 獲取名字,拿到調試什么的字符串,就GG了
2:枚舉系統模塊.也就是系統加載的驅動,OD如果有這個插件,啟動的時候會加載驅動,這樣就也被檢測出來了.
}
下面是大概的登錄流程(先把檢測去了)
1:驗證_卡登錄 (編輯框1.內容, 驗證結果)
2:驗證_合法性檢測 ()
3:進入窗口后的 驗證_調用遠程JS()
1.PEID查殼,看看區段和殼的類型,然后載入OD。
可以看到,有個VMP的區段,除去人為改動,如果沒有人為的改動的話可以看到,這個應該是加了VMP保護e盾網絡驗證個人版,但是為什么查殼查不到呢,可能是保護了易語言的特定代碼段,對特定代碼段進行了保護。
還是一個Push 看來作者并沒有對OEP進行保護~
復習:push 壓棧 把ebp壓入棧中~C語言的源碼大概就相當于
int main()
{
}
相當于這樣,一個程序的入口。
2.搜索push 10001(為什么對E盾的也要這么做呢 慢慢看)
把這個Push 記住
然后搜索FF 25易語言體~
把這個push 換成push 。
有了解的朋友現在就知道,直接保存出去 他會提示請調用驗證函數,這是E盾的老套路了,這個我只知道個人版有,企業版沒遇到過,畢竟沒有一個作者真會去花8000買個驗證hhh。接下來就是一步一步攻破E盾的防線~
3.合法性檢測
ctrl+s搜索sub esp,84
找到斷首
修改為
然后查找sub esp,98
還是一樣來到斷首~
修改成:
4.暗裝
ctrl+f搜索 push 60修改為 retn
找到斷首,修改為:
retn=(返回)
5.自校驗
他有個監測時候被破解或者被殺軟查殺,上面那個JNZ改成JMP即可(JNZ指令:Z標志位=0時跳轉,Z=1則不跳轉 JMP:這個就簡單了,跳必須跳,不進行判斷直接跳轉哦~這個就簡單粗暴了)
然后保存即可~
選擇路徑就行~
