《第2期-19 飘零金盾4.0详解》学习笔记

一、飘零金盾4.0去蓝屏、去退出、去下标越界
1、去蓝屏，靠的是特征码。

飘零金盾1.5    特征   55 8B EC BB 06 00 00 00  
飘零金盾2.0    特征   55 8B EC EB 10 56 4D 50 72 6F 74 65 63 74 20 62 65 67 69 6E 00 BB 06 00 00 00

在OD中搜索二进制字符串，找到后直接在开头反汇编：retn

找到结果后修改

不止一处，把所有地方都进行修改。
2、去退出，到易语言体里面去找。
代码特征如下：

 55            push    ebp
 8BEC          mov     ebp,esp
 8B45 08       mov     eax,[arg.1]
 50            push    eax
 B9 A0F75200   mov     ecx,0052F7A0
 E8 7F85FFFF   call    00439910
 8B4D 08       mov     ecx,[arg.1]
 51            push    ecx                              ; /ExitCode
 FF15 B0624B00 call    dword ptr ds:[<&KERNEL32.ExitPro>; \ExitProcess
 5D            pop     ebp
 C3            retn

直接在段首retn。
3、去下标越界，到易语言体里面去找。
代码特征如下：

 55            push    ebp
 8BEC          mov     ebp,esp
 8B45 08       mov     eax,[arg.1]
 50            push    eax
 8B4D 08       mov     ecx,[arg.1]
 8B148D CC0251>mov     edx,dword ptr ds:[ecx*4+0x5102CC]
 52            push    edx
 B9 A0F75200   mov     ecx,0052F7A0
 E8 E47EFFFF   call    00439130
 5D            pop     ebp
 C3            retn

直接在段首retn。

二、对付时钟的新方法
由于程序中有时钟，所以下了按钮事件后总是被这时钟个断下来。这里给了一个新方法来处理程序中的时钟。
1、下按钮事件断点，待断下来后，把此时call后面的代码复制下来

复制代码

2、按Shift+F2，设置条件断点的条件为：把刚才复制下来的粘贴出来，然后设置为不等于4115E0（见这行代码后面的注释）

设置条件断点

3、按F7来到时钟事件，开头直接retn

时钟事件修改

4、接着就能正常断按钮事件了。
三、杂项

1、对于飘零金盾4.0的破解，还是参考了源代码，知道了登录验证的思路，从而进入了登录按钮的事件里知道那些call是要F7进入的。