0x00 事件起因
技术无黑白,攻防无绝对。逛淘宝店时,偶然被推送了一款网站优化软件,名为时空SEO助手,价值328元。
评论区里的留言,表示这款软件还不错,值得推荐。
饶有兴趣地百度了一下
![手刃价值328元的网站优化助手插图 手刃价值328元的网站优化助手插图](https://static.esw.eswlnk.com/2021/07/2021073009195938-1024x674.png)
官网还做得不错,过后可以自己扣下来,给自己的网站优化优化
软件介绍
轻量级UI界面 涵盖了SEO必备功能、颠覆传统优化思路,研究最新思路,百度/搜狗/360快速批量收录,智能文章写作,网站智能诊断,关键词挖掘,高质量文章采集,降权修复,智能刷流量权重优化,超强引蜘蛛,超级AI伪原创,收录监控,老域名扫描,原创度评分,全自动刷外链,死链清理,快速提升收录,网站地图,robots,404,引蜘蛛等SEO优化工具。
0x01 代码分析
因为有一定的反汇编和汇编基础,我就把它下载了下来,结果360就报了个 QVM7.X
好家伙,有90%的把握是易语言写的,而且可能还没有加壳
拖到Exeinfo
看看,结果如下
![手刃价值328元的网站优化助手插图1 手刃价值328元的网站优化助手插图1](https://static.esw.eswlnk.com/2021/07/2021073009240793.png)
作为一个商业软件,没有加密,而且使用的易语言,更可悲的是,易语言的特征也没有删除。
直接拖到ollydbg
里去看看结果,按照这个作者的思路,可能登录后的界面也没有二次验证或者反VM
ollydbg动态分析
ollydbg成功附加后,我们也是成功解码了数据内容
![手刃价值328元的网站优化助手插图2 手刃价值328元的网站优化助手插图2](https://static.esw.eswlnk.com/2021/07/2021073009283576.png)
搜索一下ASCII和UNICODE字符串,例如登录
、注册
等关键字样
结果还真搜索到了,如果是当年的E盾或者其他云验证的话,这些关键字应该是被隐藏或者云端调用,待会再看看这个软件的验证后台
寻找登录CALL
![手刃价值328元的网站优化助手插图3 手刃价值328元的网站优化助手插图3](https://static.esw.eswlnk.com/2021/07/2021073009321852.png)
跟着关键字符,我们向上查看,来push ebp
头部
下个断点,跟踪一下看下关键的大跳转在哪里。
如果你反汇编学的六,或者对于破解已经得心应手,其实从图虫也能看到在“登陆成功”下方有个jnz
条件性跳转指令
将该指令nop
掉,即可成功登录软件,并且进入功能界面
0x02 代码补丁
选中我的修改内容后,点击复制全部内容
![手刃价值328元的网站优化助手插图4 手刃价值328元的网站优化助手插图4](https://static.esw.eswlnk.com/2021/07/2021073009401721.png)
复制到 可执行文件-》所有修改,右键保存文件,命名为sk_cracked.exe
由于该程序没有自校验或者其他packer
,所以就直接保存文件就行了
0x03 反汇编示例
0x04 深入分析
通过对验证地址的拦截,我找到了它的验证地址:www.yskjrz.com
由于本人并没有深入研究CTF和挖洞,所以就没进入该软件的后台
![手刃价值328元的网站优化助手插图5 手刃价值328元的网站优化助手插图5](https://static.esw.eswlnk.com/2021/07/2021073009492357-1024x514.png)
该验证为:姆町验证
,并且已经开源,文件已经发布在了吾爱破解论坛
时空SEO助手官网为:www.henpile.com
域名为企业备案,并且于去年完成ICP备案,有趣的是该网站也完成了公安备案
![手刃价值328元的网站优化助手插图6 手刃价值328元的网站优化助手插图6](https://static.esw.eswlnk.com/2021/07/2021073009550846.png)
备案时间为2019年,并且开办主体为个人,与当前的企业备案不符,至于什么问题,相信懂米的都知道
用不了,打不开
都一年前的东西了,我的好兄弟
支持站站大佬,我来试试!
感谢支持 (❀」╹□╹)」*