我们可以用一下 XueTr 这个工具, 这是个手工杀毒辅助工具
因为飘零的网络验证很烦人, 有一个时钟检测
OD 载入 F9 运行, 输入假码 MXYLR 123, 下按钮事件断点 FF 55 FC 5F 5E
发现程序停在断点了, 这是因为飘零有个时钟
怎么干掉飘零的时钟
先打开飘零, 然后打开 XueTr, 找到飘零的进程, 右键查看进程定时器, 直接把里面所有的都右键移除
这时候我们用 OD 附加飘零的进程
然后我们 Alt+E, 然后点程序模块进入程序领空
我们查找按钮事件, Ctrl+B FF 55 FC 5F 5E 下断 Ctrl+L 寻找下一个
我们 F9 运行, 输入 MXYLR 和 123, 然后登陆
我们 F7 进 call 按钮事件
F8 单步, 我们搜索字符串然后再返回 CPU 窗口, 就可以看到代码旁边的注释字符串了
发现 F8 到这里就跟不了了, 我们在它下一行 F2 下断, 然后点 OD 上面的 t 按钮, 显示所有线程, 然后右键激活所有线程
然后线程被激活, 自动断在那里了
我们看 EAX 寄存器, 它存着函数返回值, 此时 EAX = 1, 我们看源码, 现在执行 `收费模式`, 视频里是这样的, 而我这里是 0
这里很有意思, 这里的跳转对应这里的源码
因为返回值为 0 所以跳转实现, 不执行 收费模式
同理不执行 免费模式, 跳转实现
同理不执行 指定免费, 跳转实现
上面那些函数的源代码就在下面
为了和视频一样, 我把跳转干掉, 进入 收费模式 的那个 call
这里是飘零在判断, 服务端肯定是没有我们的账号密码的, 我们要注意右侧的注释
这里跳转未实现, 原因很明显, 我们把它改成 jmp
其实这里我们只要注意不让它报错就好
一步步爆破就可以登陆进去了
