再玩FastTV网络电视

云飘飘

前些天,又玩了玩FastTV网络电视.(半年前,偶玩过Ta,呵呵)
目标软件:FastTV网络电视[贵宾钻石版] 1.4.0.4
下载地址:http://www.newhua.com/soft/44309.htm
程序注册码采用MD5加密!另外带有网络验证.

因为程序版本已更新,下面简要贴出追码的关键地方!

1. 00511307   .  83E8 10       SUB EAX,10                               ;  Switch (cases 10..20)
   
2. 0051130A   .  74 18         JE SHORT FastTV_e.00511324
   
3. 0051130C   .  83E8 04       SUB EAX,4
   
4. 0051130F   .  74 4B         JE SHORT FastTV_e.0051135C
   
5. 00511311   .  83E8 04       SUB EAX,4
   
6. 00511314   .  74 7B         JE SHORT FastTV_e.00511391
   
7. 00511316   .  83E8 08       SUB EAX,8
   
8. 00511319   .  0F84 A7000000 JE FastTV_e.005113C6
   
9. 0051131F   .  E9 88010000   JMP FastTV_e.005114AC

复制代码

1. 0050C642  |.  83E8 0A       SUB EAX,0A                               ;  Switch (cases A..10)
   
2. 0050C645  |.  74 62         JE SHORT FastTV_e.0050C6A9               ;  标准版 注册码16位
   
3. 0050C647  |.  83E8 02       SUB EAX,2
   
4. 0050C64A  |.  74 17         JE SHORT FastTV_e.0050C663               ;  试用版
   
5. 0050C64C  |.  83E8 02       SUB EAX,2
   
6. 0050C64F  |.  0F84 18010000 JE FastTV_e.0050C76D                     ;  VIP版 注册码20位
   
7. 0050C655  |.  83E8 02       SUB EAX,2
   
8. 0050C658  |.  0F84 D3010000 JE FastTV_e.0050C831                     ;  钻石版 注册码24位

复制代码

注册码躺在这里:

1. 0050C831  |> \68 D4B15100   PUSH 000.0051B1D4                        ;  Case 10 of switch 0050C642
   
2. 0050C836  |.  8D45 8C       LEA EAX,DWORD PTR SS:[EBP-74]            ;  这里开始计算注册码
   
3. 0050C839  |.  50            PUSH EAX
   
4. 0050C83A  |.  B9 06000000   MOV ECX,6
   
5. 0050C83F  |.  BA 08000000   MOV EDX,8
   
6. 0050C844  |.  8B45 FC       MOV EAX,DWORD PTR SS:[EBP-4]             ;  从第8位起连续取6位
   
7. 0050C847  |.  E8 B485EFFF   CALL 000.00404E00
   
8. 0050C84C  |.  FF75 8C       PUSH DWORD PTR SS:[EBP-74]
   
9. 0050C84F  |.  8D45 88       LEA EAX,DWORD PTR SS:[EBP-78]
   
10. 0050C852  |.  50            PUSH EAX
    
11. 0050C853  |.  B9 07000000   MOV ECX,7
    
12. 0050C858  |.  BA 12000000   MOV EDX,12
    
13. 0050C85D  |.  8B45 FC       MOV EAX,DWORD PTR SS:[EBP-4]             ;  从第18位起连续取7位
    
14. 0050C860  |.  E8 9B85EFFF   CALL 000.00404E00
    
15. 0050C865  |.  FF75 88       PUSH DWORD PTR SS:[EBP-78]
    
16. 0050C868  |.  8D45 84       LEA EAX,DWORD PTR SS:[EBP-7C]
    
17. 0050C86B  |.  50            PUSH EAX
    
18. 0050C86C  |.  B9 03000000   MOV ECX,3
    
19. 0050C871  |.  BA 03000000   MOV EDX,3
    
20. 0050C876  |.  8B45 FC       MOV EAX,DWORD PTR SS:[EBP-4]
    
21. 0050C879  |.  E8 8285EFFF   CALL 000.00404E00                        ;  从第3位起连续取3位
    
22. 0050C87E  |.  FF75 84       PUSH DWORD PTR SS:[EBP-7C]
    
23. 0050C881  |.  8D45 80       LEA EAX,DWORD PTR SS:[EBP-80]
    
24. 0050C884  |.  50            PUSH EAX
    
25. 0050C885  |.  B9 03000000   MOV ECX,3
    
26. 0050C88A  |.  BA 0D000000   MOV EDX,0D
    
27. 0050C88F  |.  8B45 FC       MOV EAX,DWORD PTR SS:[EBP-4]             ;  从第13位起连续取3位
    
28. 0050C892  |.  E8 6985EFFF   CALL 000.00404E00
    
29. 0050C897  |.  FF75 80       PUSH DWORD PTR SS:[EBP-80]
    
30. 0050C89A  |.  8D85 7CFFFFFF LEA EAX,DWORD PTR SS:[EBP-84]
    
31. 0050C8A0  |.  50            PUSH EAX
    
32. 0050C8A1  |.  B9 05000000   MOV ECX,5
    
33. 0050C8A6  |.  BA 16000000   MOV EDX,16
    
34. 0050C8AB  |.  8B45 FC       MOV EAX,DWORD PTR SS:[EBP-4]             ;  从第16位起连续取5位
    
35. 0050C8AE  |.  E8 4D85EFFF   CALL 000.00404E00
    
36. 0050C8B3  |.  FFB5 7CFFFFFF PUSH DWORD PTR SS:[EBP-84]
    
37. 0050C8B9  |.  8D45 90       LEA EAX,DWORD PTR SS:[EBP-70]
    
38. 0050C8BC  |.  BA 05000000   MOV EDX,5
    
39. 0050C8C1  |.  E8 9A83EFFF   CALL 000.00404C60                        ;  将以上代码拼合起来,共24位
    
40. 0050C8C6  |.  8B45 90       MOV EAX,DWORD PTR SS:[EBP-70]
    
41. 0050C8C9  |.  8D55 94       LEA EDX,DWORD PTR SS:[EBP-6C]            ;  在这里可以看到注册码,Ta就躺在EAX里,呵呵

复制代码

注意,由于程序采取了网络验证注册码,每次连接服务器就变成了未注册版!

没关系,我们来暴破!

首先去除试看时间限制!将0050DEF4行改成RETN就OK!

再去除网络验证!
我找到了VIP节目的网络验证暴破点,看如下:

1. 0050FE40   $  53            PUSH EBX
   
2. 0050FE41   .  8BD8          MOV EBX,EAX
   
3. 0050FE43   .  8B83 40030000 MOV EAX,DWORD PTR DS:[EBX+340]
   
4. 0050FE49   .  E8 626EF3FF   CALL 000.00446CB0
   
5. 0050FE4E   .  E8 C54CF3FF   CALL 000.00444B18
   
6. 0050FE53   .  84C0          TEST AL,AL
   
7. 0050FE55   .  75 62         JNZ SHORT 000.0050FEB9
   
8. 0050FE57   .  8B93 40030000 MOV EDX,DWORD PTR DS:[EBX+340]
   
9. 0050FE5D   .  8BC3          MOV EAX,EBX
   
10. 0050FE5F   .  E8 7CBFFFFF   CALL 000.0050BDE0
    
11. 0050FE64   .  8B83 0C050000 MOV EAX,DWORD PTR DS:[EBX+50C]
    
12. 0050FE6A   .  BA C4FE5000   MOV EDX,000.0050FEC4
    
13. 0050FE6F   .  E8 784EEFFF   CALL 000.00404CEC
    
14. 0050FE74   .  74 43         JE SHORT 000.0050FEB9
    
15. 0050FE76   .  80BB 41050000>CMP BYTE PTR DS:[EBX+541],0
    
16. 0050FE7D      75 33         JNZ SHORT 000.0050FEB2                   ;  暴破点
    
17. 0050FE7F   .  8B83 14050000 MOV EAX,DWORD PTR DS:[EBX+514]
    
18. 0050FE85   .  BA D0FE5000   MOV EDX,000.0050FED0
    
19. 0050FE8A   .  E8 5D4EEFFF   CALL 000.00404CEC
    
20. 0050FE8F   .  74 12         JE SHORT 000.0050FEA3
    
21. 0050FE91   .  8B83 14050000 MOV EAX,DWORD PTR DS:[EBX+514]
    
22. 0050FE97   .  BA DCFE5000   MOV EDX,000.0050FEDC
    
23. 0050FE9C   .  E8 4B4EEFFF   CALL 000.00404CEC
    
24. 0050FEA1   .  75 0F         JNZ SHORT 000.0050FEB2                   ;  暴破这里也可以
    
25. 0050FEA3   >  8B93 E8040000 MOV EDX,DWORD PTR DS:[EBX+4E8]
    
26. 0050FEA9   .  8BC3          MOV EAX,EBX
    
27. 0050FEAB   .  E8 4898FFFF   CALL 000.005096F8
    
28. 0050FEB0   .  EB 07         JMP SHORT 000.0050FEB9
    
29. 0050FEB2   >  8BC3          MOV EAX,EBX
    
30. 0050FEB4   .  E8 CFD1FFFF   CALL 000.0050D088
    
31. 0050FEB9   >  5B            POP EBX
    
32. 0050FEBA   .  C3            RETN

复制代码

搞定后,VIP节目畅通无阻!

还剩【电视】栏的【高清精选(VIP节目)】,继续找关键点!

采用层层拨皮法，找到0050F9F8,0050FA19两行，自己改吧！

总结下：0050DEF4,0050F9F8,0050FA19,0050FE7D便是关键处行号。

wiliiwin

不错的文章学习了

magic659117852

/:001 学习一下。。。。。。。。。

tianxj

学习一下,/:good /:good

Nisy

络验证暴破点  这里兄弟是如何跟到的 学习一下 /:014

云飘飘

原帖由 Nisy 于 2008-4-26 01:31 发表
络验证暴破点  这里兄弟是如何跟到的 学习一下 /:014

我叫它层层拨皮法，其实就是回溯嘛！没什么可说的~~/:014

iamok

我记得这个没这么复杂吧？？
直接跳到钻石版，下面好像有个跳改了就能看所有VIP了，再NOP掉网络验证得CALL就行了，难道新版改了？？？

iamok

1. 0050C0D0  |.  E8 E75CFDFF     call _UnPacke.004E1DBC
   
2. 0050C0D5  |.  8B85 68FFFFFF   mov eax,[local.38]
   
3. 0050C0DB  |.  8D8D 6CFFFFFF   lea ecx,[local.37]
   
4. 0050C0E1  |.  BA 44C35000     mov edx,_UnPacke.0050C344             ;  sgpj-nmmd
   
5. 0050C0E6  |.  E8 7D14F7FF     call _UnPacke.0047D568
   
6. 0050C0EB  |.  8B95 6CFFFFFF   mov edx,[local.37]
   
7. 0050C0F1  |.  58              pop eax
   
8. 0050C0F2  |.  E8 F58BEFFF     call _UnPacke.00404CEC                ;  验证加密后得注册码
   
9. 0050C0F7      75 5F           jnz short _UnPacke.0050C158           ;  NOP掉
   
10. 0050C0F9  |.  C683 4C050000 0>mov byte ptr ds:[ebx+54C],1
    
11. 0050C100  |.  833D D4B15100 0>cmp dword ptr ds:[51B1D4],1
    
12. 0050C107  |.  74 07           je short _UnPacke.0050C110
    
13. 0050C109  |.  C683 4D050000 0>mov byte ptr ds:[ebx+54D],1
    
14. 0050C110  |>  B8 D0B15100     mov eax,_UnPacke.0051B1D0
    
15. 0050C115  |.  8B55 F8         mov edx,[local.2]
    
16. 0050C118  |.  E8 1788EFFF     call _UnPacke.00404934
    
17. 0050C11D  |.  8D8D 5CFFFFFF   lea ecx,[local.41]
    
18. 0050C123  |.  BA F8C25000     mov edx,_UnPacke.0050C2F8             ;  nmmd-sgpj
    
19. 0050C128  |.  A1 D0B15100     mov eax,dword ptr ds:[51B1D0]
    
20. 0050C12D  |.  E8 1E16F7FF     call _UnPacke.0047D750
    
21. 0050C132  |.  8B8D 5CFFFFFF   mov ecx,[local.41]
    
22. 0050C138  |.  8D85 60FFFFFF   lea eax,[local.40]
    
23. 0050C13E  |.  BA 58C35000     mov edx,_UnPacke.0050C358
    
24. 0050C143  |.  E8 A48AEFFF     call _UnPacke.00404BEC
    
25. 0050C148  |.  8B95 60FFFFFF   mov edx,[local.40]
    
26. 0050C14E  |.  A1 B4B15100     mov eax,dword ptr ds:[51B1B4]
    
27. 0050C153  |.  E8 A0F0F4FF     call _UnPacke.0045B1F8

复制代码

1. 0050D59C   .  E8 9F7BEFFF     call _UnPacke.00405140
   
2. 0050D5A1   .  8B55 DC         mov edx,dword ptr ss:[ebp-24]
   
3. 0050D5A4   .  8BC3            mov eax,ebx
   
4. 0050D5A6   .  E8 D122FBFF     call _UnPacke.004BF87C
   
5. 0050D5AB   .  33C0            xor eax,eax
   
6. 0050D5AD   .  55              push ebp
   
7. 0050D5AE   .  68 46D65000     push _UnPacke.0050D646
   
8. 0050D5B3   .  64:FF30         push dword ptr fs:[eax]
   
9. 0050D5B6   .  64:8920         mov dword ptr fs:[eax],esp
   
10. 0050D5B9   .  8B45 FC         mov eax,dword ptr ss:[ebp-4]
    
11. 0050D5BC   .  8B88 44050000   mov ecx,dword ptr ds:[eax+544]
    
12. 0050D5C2   .  8D45 D4         lea eax,dword ptr ss:[ebp-2C]
    
13. 0050D5C5   .  BA 1CD75000     mov edx,_UnPacke.0050D71C             ;  ASCII "http://www.jesen.cn/fasttv/check/isdaolian.asp?id="
    
14. 0050D5CA      E8 1D76EFFF     call _UnPacke.00404BEC                ;  网络验证CALL，NOP掉它
    
15. 0050D5CF   .  8B45 D4         mov eax,dword ptr ss:[ebp-2C]
    
16. 0050D5D2   .  8D55 D8         lea edx,dword ptr ss:[ebp-28]
    
17. 0050D5D5   .  E8 2E46FDFF     call _UnPacke.004E1C08
    
18. 0050D5DA   .  8B45 D8         mov eax,dword ptr ss:[ebp-28]
    
19. 0050D5DD   .  8D55 F4         lea edx,dword ptr ss:[ebp-C]
    
20. 0050D5E0   .  E8 E7BBEFFF     call _UnPacke.004091CC
    
21. 0050D5E5   .  A1 B0995100     mov eax,dword ptr ds:[5199B0]
    
22. 0050D5EA   .  8B00            mov eax,dword ptr ds:[eax]
    
23. 0050D5EC   .  E8 27DDF6FF     call _UnPacke.0047B318

复制代码

就改这2个地方，输入任意24位注册码就是钻石版了，所有VIP正常收看。

dying

额  学习下 /:014 /:014

hmily

我记得网络认证我就改一个地方，好象就在注册码验证下面的几个CALL中的一个，直接在断首retn就可以了~