收起左侧

    [其他教程] 两种躲避服务器检测(直接登陆)的方法

    3
    回复
    2821
    查看
      [复制链接]

    管理员

    3550

    主题

    3599

    帖子

    1万

    积分

    管理员

    Rank: 9Rank: 9Rank: 9

    积分
    16403

    最佳新人活跃会员热心会员推广达人宣传达人灌水之王突出贡献优秀版主荣誉管理论坛元老

    发表于 2017-1-31 12:02:53 | 显示全部楼层 |阅读模式
    祝大家新年快乐!祝吾爱论坛发展越来越好!undefined新年之初,分享自己所掌握的两种跳过服务器检测的方法,下面所用到的目标程序来自网络,功能使用上已经失效~
    1)F12暂停法;
    2)借助按钮事件。
    躲避服务器检测,当我们输入用户名与口令或者密码的时候,程序会将这些字符发送到某个网站上进行验证,如果验证通过就可以进入主程序,否则,额,就是错误提示...下面进入主题。

    第一种方法:F12暂停法
    1、查壳,是Aspack壳,用ESP定律法脱壳+IAT修复即可,这里不赘述;
    183754lbl5ee7n8787wn8q.png

    2、OD载入脱壳后的文件,F9运行,程序跑起来后,直接F12暂停,然后点击菜单栏里的K,选择最后一个,右键-显示调用;
    184017hp5vvj1p8cyvkz96.png

    184018zrzlrzlley4z0mor.png

    3、进入这段程序后,发现没有跳转可以跳过这个调用call,于是找到这段程序的段首,F2下断点,然后重新载入程序,F9运行,程序被断下来,在堆栈窗找到第一行,右键-在反汇编中跟随;
    184340f86c596gcg55pcr5.png


    4、来到这个调用call,我们直接找到段首,结果我们发现,这个就是程序的入口点,巧了undefined重新载入程序,去掉前面下的断点,在堆栈窗发现如果再回溯的话就到系统领空,单步往下看看好了;
    184629a0d8t3dd6kv3p37k.png

    5、同时我们看到关键call附近也没用跳转可以跳过它,那我们试试直接将其nop掉,F9运行看看;
    185100t1iqxgqn2blwiqr3.png

    直接跳过登陆框进入主程序,第一种方法已经达到目的,保存文件。undefined

    第二种方法:借助按钮事件
    1、脱壳后用PEID查发现是Delphi语言写的,首先用OD载入脱壳后的文件,F9运行程序,跑起来后,我们输入用户名与口令(随意),点击登陆,出现错误提示框;
    190750af9jeyrq77qe7r0a.png

    190952v7a2ksy730zabks3.png

    2、那么【登陆】就是我们的按钮事件,用IDR(爱盘里可以下载)查询按钮事件【登陆】的地址是:00553FFC,我们在OD里重新载入程序,接着Ctrl+G,转到这个【登陆】按钮所在的地址;
    191533axg9gkt14cdcztax.png

    3、然后再F2下断点,F9运行程序,程序跑起来并且出现登陆框,我们点击【登陆】,此时程序因为按钮事件而断下,接着就是单步了;
    191548c700wxnawz2xxgw2.png

    4、我们发现,单步到00554076      E8 65050000   call dumped_.005545E0时,程序跑起来,对于服务器的网络验证call一般可以采取nop掉或者让前面的某个跳转跳过它的办法,对于这个call,前面没有跳转可以跳过它,nop掉的话登录框的登录键会变成灰色,所以在这里F7进去;
    191953s8n3javsj1axn91v.png

    5、接着继续单步,到00554791      E8 16F9FFFF   call dumped_.005540AC处时,程序再次跑起来,跟第4步一样,我们F7进去,继续单步,单步到005541BC      E8 B7E8FFFF   call dumped_.00552A78处时,程序唤起服务器网络验证,nop掉后程序会显示验证失败,说明这个是调起服务器网络验证的关键call,因为前面没有跳转能够跳过它,所以直接将其nop掉,继续单步;
    192906l2u0uuhzbyorrp00.png

    6、单步到005543F5  |.  E8 0639EBFF   call 处时,程序跑起来,从提示框可以看出,这是个唤起验证失败的关键call,跟我们一开始看到的失败框是一样的,而就在它前面不远处,005543C8     /74 30         je short dumped_.005543FA ,正好能够跳过这个唤起验证失败的关键call;
    193113isq6w3utu6j1nstd.png

    193646fj1cxy3er17j1o3e.png

    7、那么很明确了,我们需要将005543C8     /74 30         je short dumped_.005543FA 处的je改成jmp,但并不是只需要改这一处就完事了,如果只改这一个地方,F9运行,发现还是验证失败;
    194324trk108ffdfz025z5.png

    8、所以我们需要加工一下,在005543C8前面有很多的跳转,我们慢慢调试,肯定可以调试成功的,往上看,分析发现,如果005541CD     /0F84 8C000000 je dumped_.0055425F这个地方,这个je不处理的话会验证失败,所以要让他跳转,将je改成jmp;
    194934bqxccy39q98i8o5q.png

    9、再次F9运行,程序依然提示验证失败,说明还要继续修改,那改完005541CD后接着单步吧,看看还有什么地方要修改的,单步来到00554273     /7E 5A         jle short dumped_.005542CF处,该跳转已实现,试试将其nop掉,然后F9运行,发现,大功告成undefined
    195303xsyd9nynu9nmmnzb.png

    10、保存文件,运行一下试试,发现确实可以进入主程序,到这里为止,所有步骤都结束了。
    195553ci3feck01olejmcf.png

    方法二在经历多番调试后,终于成功躲避了服务器的网络验证,与方法一相比,方法二确实要花费太多时间,二者的区别在于:
    195554z312elaxt370l113.png

    方法一在这个功能上会受限制,后来我尝试了在方法一的基础上破解这个功能,最后得出的结论就是:方法二=方法一+搜索字符串破解引擎功能undefined

    以上分析谨代表个人观点,如有不足还请指正undefined

    程序下载地址:
    请点击此处下载

    请先注册会员后在进行下载

    已注册会员,请先登录后下载

    文件名称:下载.txt 
    下载次数:14  文件大小:49 Bytes  售价:30美金 [记录]
    下载权限: 不限 以上或 至尊会员   [购买会员]   [充值美金]

    温馨提示:
    1、本站所有信息都来源于互联网有违法信息与本网站立场无关。
    2、当有关部门,发现本论坛有违规,违法内容时,可联系站长删除,否则本站不承担任何责任。
    3、当政府机关依照法定程序要求披露信息时,论坛均得免责。
    4、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
    5、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
    6、如果使用本帖附件,本站程序只提供学习使用,请24小时内删除!使用者搭建运营触犯法律,违法,违规,本站不承担任何责任。
    回复

    使用道具 举报

    中级会员

    0

    主题

    55

    帖子

    222

    积分

    中级会员

    Rank: 3Rank: 3

    积分
    222
    QQ
    发表于 2017-8-15 15:25:36 | 显示全部楼层
    59盾高防服务器 专业防御各种DDOS攻击CC攻击 完美防御 无视任何攻击 防微信封
    7年科研高防服务 让你快速打造一个安全 高速的 游戏网站平台
    回复 支持 反对

    使用道具 举报

    cprjz 该用户已被删除
    发表于 2017-12-25 22:49:43 | 显示全部楼层
    提示: 作者被禁止或删除 内容自动屏蔽
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    在线客服
    热线电话

    微信扫一扫
    专注源码分享6年
    全国免费热线电话

    400-225-995

    周一至周日9:00-23:00

    反馈建议

    a5887776@163.com 在线QQ咨询

    Powered by Discuz! X3.4 Licensed © 2001-2013 Comsenz Inc.