黑盒分析

发布时间:2016-12-7 1:54:31 编辑:www.fx114.net 分享查询网我要评论
本篇文章主要介绍了"黑盒分析",主要涉及到黑盒分析方面的内容,对于黑盒分析感兴趣的同学可以参考一下。

无源码 分析  -》  黑盒分析 飘零 3.2VIP客户端 心跳包   很多 大小为1   的包       防止程序强制关闭 封包内容 大概为: p=xxxxxxxxxxxxxxxxxxxx &pzdm=xxxxxxxxxx &post=xxxxxxxxxxxx 这个大概就是飘零验证了 搜索字符串 ··· 不能整除与零 不能求余数与零 ····· ··· 下面的信息没有用  E语言支持库的字符串  没用 要看它上面的字符串 运行  后  搜索  字符串  程序进程结束 加速键 /热键/老板键  检测 下send断点    按F8   (热键)····热键检测 超线程 程序跑起来   线程在多起来  线程开启 又 关闭 用意 检测  有没有调试它 看线程的状态 CreateThread 下断 EIP 往上建立 就可以看到 堆栈显示的标志 返回到 函数过程 暗桩线程 1)NOP掉 函数 2) NOP 代码段的  CreateThread 函数 蓝屏 看一下退出   ExitProcess CC断点   点登陆 搜索   会断下 堆栈窗口 往上推进··········   retrn xxxxxxxxxx 想知道那个CALL  调用了 退出 记录 继续分析 分析到一个CALL 时 查看右上角 OD窗口  可以看到是那个线程 如果手动跳过它退出 会蓝屏 有时候检测到  有时候检测不到 看到  有几个返回地址就可以  找到返回地址 Find references to -> selected command Ctl+R 所有来到这个地址的  过程  下断 重新载入···················· 看到你有个CALL被断下 往上跟随 就这样分析····························································· 滴答检测 GetTickCount    操作系统从启动到运行的诗句 让它跑起来再  下断 走到RETN    EAX显示的值就是那个时间 时时获取时间,如果偏差不是很大就保存 再比较,再保存 偏差大的直接退出 GetTickCount retn 就没事了   搜索字符串   和  ctrl+A   都没事了 防止他检测 上面的搞好了之后: 对CreateThread下断 登陆线程 看到系统函数 开了发包的线程(这个应该快点  要不然服务端以为断开连接了) 注册一个账号!!!!!! 登陆 线程是用  CreateRemoteThread 调用 注释比较多的话   可以添加标签   创建了3个线程             调用成功的回调函数就行 提取爆破   “特征码”············································································ 3个回调函数 那个成功的回调函数的二进制码 就是特征码 无账号 破解 有账号就可以下断 线程创建······································································

上一篇:解决"cvCreateVideoWriter保存视频帧压缩格式只能用-1"的问题
下一篇:HotSpot JVM垃圾收集原理

相关文章

关键词: 黑盒分析

相关评论